Webstatistik-Software CNStats führt fremden Code aus
Zwei Module erlauben in Parametern die Angabe von Pfaden zum Inkludieren lokaler oder externer PHP-Skripte.
Mehrere Fehler in CNStats, einer Software zur Analyse der Webzugriffe auf eine Seite, ermöglichen einem Angreifer eigenen PHP-Code auf einem Server auszuführen. Unter Umständen ist damit auch der Zugriff auf das gesamte System möglich. So filtern die Module who_r.php und who_s.php die Parameter bj oder bn nicht richtig, sodass sich dort Pfade zum Inkludieren lokaler oder externer PHP-Skripte angeben lassen. Allerdings muss die Option register_globals entgegen den Sicherheitsempfehlungen aktiviert sein. Der Fehler wurde in Version 2.9 gefunden, die aktuelle Version 2.12 soll ebenfalls betroffen sein. Abhilfe schafft derzeit nur, register_globals zu deaktivieren.
Siehe dazu auch:
- CNStats 2.9 Remote File Include Vulnerability, Fehlerbericht auf Milw0rm
(dab)