NVD Vulnerability Detail

CVE-2008-5080

Summary	awstats.pl in AWStats 6.8 and earlier does not properly remove quote characters, which allows remote attackers to conduct cross-site scripting (XSS) attacks via the query_string parameter. NOTE: this issue exists because of an incomplete fix for CVE-2008-3714.
Publication Date	Dec. 4, 2008, 3:30 a.m.
Registration Date	Jan. 29, 2021, 1:45 p.m.
Last Update	Nov. 7, 2023, 11:03 a.m.

Affected software configurations

Related information, measures and tools

No	URL	refsource	タグ
1	https://bugzilla.redhat.com/show_bug.cgi?id=474396	CONFIRM	Vendor Advisory
2	http://bugs.debian.org/cgi-bin/bugreport.cgi?bug=495432#21	MISC
3	http://secunia.com/advisories/33002	SECUNIA
4	http://www.ubuntu.com/usn/usn-686-1	UBUNTU
5	https://exchange.xforce.ibmcloud.com/vulnerabilities/47116	XF

Common Vulnerabilities List

No	CWE	Name	URL
1	CWE-79	クロスサイト・スクリプティング（XSS）	https://cwe.mitre.org/data/definitions/79.html

JVN Vulnerability Information

AWStats の awstats.pl におけるクロスサイトスクリプティング攻撃を実行する脆弱性

Title	AWStats の awstats.pl におけるクロスサイトスクリプティング攻撃を実行する脆弱性
Summary	AWStats の awstats.pl は、引用文字を適切に削除しないため、クロスサイトスクリプティング攻撃を実行する脆弱性が存在します。本脆弱性は、CVE-2008-3714 での修正が不完全だったことによる脆弱性です。
Possible impacts	第三者により、query_string パラメータを介して、クロスサイトスクリプティング攻撃を実行される可能性があります。
Solution	ベンダ情報および参考情報を参照して適切な対策を実施してください。
Publication Date	Dec. 3, 2008, midnight
Registration Date	June 26, 2012, 4:03 p.m.
Last Update	June 26, 2012, 4:03 p.m.

Affected System

Laurent Destailleur

AWStats 6.8 およびそれ以前

CVE (情報セキュリティ共通脆弱性識別子)

No	Name	URL
Common Vulnerabilities and Exposures (CVE)
1	CVE-2008-5080	http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2008-5080
National Vulnerability Database (NVD)
2	CVE-2008-5080	http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2008-5080

CWE (共通脆弱性タイプ一覧)

No	Name	URL
JVNDB
1	CWE-79	https://jvndb.jvn.jp/ja/cwe/CWE-79.html

ベンダー情報

No	Name	URL
AWStats
1	Top Page	http://awstats.sourceforge.net/

Change Log

No	Changed Details	Date of change
0	[2012年06月26日] 掲載	Feb. 17, 2018, 10:37 a.m.