Risque

  • Exécution de code arbitraire ;
  • récupération d'informations ;
  • vol de cookies.

Systèmes affectés

Toutes les versions d'Analog antérieures à la version 5.22.

Résumé

Analog est vulnérable à une attaque de type « cross-site scripting ».

Description

Analog est un logiciel utilisé pour le traitement et l'analyse de logs d'un serveur HTTP. Il produit un rapport au format HTML.

Si un utilisateur mal intentionné envoie au serveur HTTP des requêtes contenant des chaînes de caractères, ces chaînes seront alors retranscrites dans les logs du serveur, puis dans le rapport Analog.

En choississant judicieusement les chaînes à insérer (code Javascript par exemple), un utilisateur mal intentionné peut alors faire exécuter ce code par le navigateur de toute personne consultant le rapport créé par Analog.

Solution

Mettre à jour Analog en installant la version 5.22.

Documentation