Risque

  • Exécution de code arbitraire à distance

Systèmes affectés

  • Toutes les versions de AWStats antérieures à la version 6.3.

Description

AWStats est un outil d'analyse de fichiers journaux et de génération de statistiques pour les serveurs web, FTP ou mail.
Une vulnérabilité dans la validation des paramètres passés au script awstats.pl permet à un utilisateur mal intentionné d'exécuter du code arbitraire à distance avec les droits du serveur web.

Solution

Mettre à jour AWStats en version de développement 6.3 ou désactiver l'utilisation de AWStats en attendant la prochaine version stable 6.3 (cf. section Documentation).

Documentation