Published: 02/12/2010 Updated: 03/12/2010

CVSS v2 Base Score: 7.5 | Impact Score: 6.4 | Exploitability Score: 10

VMScore: 668

Vector: AV:N/AC:L/Au:N/C:P/I:P/A:P

awstats.cgi in AWStats prior to 7.0 on Windows accepts a configdir parameter in the URL, which allows remote malicious users to execute arbitrary commands via a crafted configuration file located at a UNC share pathname.

Vulnerable Product	Search on Vulmon	Subscribe to Product
awstats awstats 6.4
awstats awstats 6.4_1
awstats awstats 2.2.3
awstats awstats 4.1
awstats awstats 5.9
awstats awstats 5.7
awstats awstats 5.0
awstats awstats
awstats awstats 3.0
awstats awstats 6.5
awstats awstats 2.1.
awstats awstats 6.5_1
awstats awstats 5.5
awstats awstats 5.4
awstats awstats 5.3
awstats awstats 5.2
awstats awstats 3.2
awstats awstats 6.2
awstats awstats 3.1
awstats awstats 6.3
awstats awstats 6.9
awstats awstats 6.6
awstats awstats 6.7
awstats awstats 6.1
awstats awstats 6.8
awstats awstats 2.2.4
awstats awstats 6.5_1.857
awstats awstats 1.0
awstats awstats 6.0
awstats awstats 5.8
awstats awstats 5.6
awstats awstats 5.1
awstats awstats 4.0

Debian Bug report logs - #606263 Multiple security issues Package: awstats; Maintainer for awstats is Debian QA Group <packages@qadebianorg>; Source for awstats is src:awstats (PTS, buildd, popcon) Reported by: Moritz Muehlenhoff <jmm@debianorg> Date: Tue, 7 Dec 2010 21:45:05 UTC Severity: grave Tags: security ...

CWE-94 http://www.exploitdevelopment.com/Vulnerabilities/2010-WEB-001.html http://awstats.sourceforge.net/docs/awstats_changelog.txt http://www.kb.cert.org/vuls/id/870532 https://bugs.debian.org/cgi-bin/bugreport.cgi?bug=606263 https://nvd.nist.gov https://www.kb.cert.org/vuls/id/870532

CVE-2010-4368

Vulnerability Summary

Vendor Advisories

References

Vulmon Search

About

Products

Connect