Российские хакеры нашли несколько уязвимостей в популярном веб-приложении для подчета статистики AWStats.

Уязвимости позволяют удаленному пользователю выполнить некоторые perl-директивы, вызвать отказ в обслуживании и получить доступ к важной информации пользователей. Одна уязвимость обнаружена в плагинах loadplugin и pluginmode и связана с некорректной обработкой переменных. Удаленный пользователь может выполнить произвольный сценарий с привилегиями веб-сервера или вызвать отказ в обслуживании. Другая "дыра" позволяет выполнить произвольный плагин. Уязвимость связана с недостаточной проверкой данных перед вызовом функции require. Также удаленный пользователь может получить доступ к важной информации, вызвав один из отладочных сценариев.

"Дыры" находятся в AWStats 6.3 и более ранних версий. Уже существует эксплойт для их использования. Эксперты присвоили уязвимостям рейтинг опасности "высокая". На настоящий момент способов устранения указанных "дыр" нет, сообщает cnews.ru