AWStats Totals, un script en PHP con el que podemos ver las estadísticas generadas por AwStats de múltiples sitios, se ha reportado propenso a dos vulnerabilidades de seguridad que de acuerdo con Secunia, podría permitir ataques del tipo cross-site scripting o ejecución de código arbitrario.
Una de las vulnerabilidades se debe a un problema en los parámetros «month» y «year», un atacante puede explotar esto para ejecutar código HTML arbitrario y código script en el navegador de la víctima. La otra vulnerabilidad es provocada por un fallo en el parámetro “sort” y la función “multisoport()”, lo cual puede ser aprovechado para ejecutar comandos arbitrarios PHP.
Estas vulnerabilidades afectan a todas las versiones de la rama 1.x de AWStats Totals, excepto a la versión 1.15 que acaba de ser lanzada. Así que se recomienda a los usuarios de AWStats Totals actualizar a la última versión disponible para corregir los problemas de seguridad.
Enlace | AwStats Totals 1.5
