PT-2020-17212 · Awstats+3 · Awstats+3

Tomaž Šolc

·

Publicado

2020-12-07

·

Atualizado

2024-10-11

·

CVE-2020-29600

CVSS v3.1

9.8

Crítica

VetorAV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
Nome do software vulnerável e versões afetadas
Versões do AWStats anteriores à 7.8
Descrição
A vulnerabilidade permite que um caminho absoluto seja aceito pelo endpoint cgi-bin/awstats.pl, embora este tenha sido projetado para ler apenas um arquivo no formato /etc/awstats/awstats.conf. Isso se deve a uma correção incompleta de um problema anterior.
Recomendações
Para versões do AWStats anteriores à 7.8, considere restringir o acesso ao endpoint cgi-bin/awstats.pl até que um patch esteja disponível. Como solução temporária, evite usar caminhos absolutos no parâmetro config do endpoint cgi-bin/awstats.pl.

Exploit

Correção

Path traversal

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-22

Identificadores relacionados

ALT-PU-2023-1396
ALT-PU-2024-13582
ALT-PU-2024-13745
CVE-2020-29600
DLA-2506-1
MGASA-2021-0024
USN-4953-1

Produtos afetados

Alt Linux
Awstats
Linuxmint
Ubuntu