漏洞信息详情

SmarterTools SmarterStats web服务器设计错误漏洞

• CNNVD编号：CNNVD-201105-231
• 危害等级： 中危
  
• CVE编号： CVE-2011-2159
• 漏洞类型： 设计错误
• 发布时间： 2011-05-23
• 威胁类型： 远程
• 更新时间： 2011-05-24
• 厂        商： smartertools
• 漏洞来源：

漏洞简介

SmarterStats是一款可以通过网页浏览器访问帮助站长跟踪网站访问者的程序，并可以产生超过135份跟踪报告。

SmarterTools SmarterStats 6.0 web服务器遗漏了某些资源的Content-Type头。远程攻击者可以利用译码冲突产生未明影响，该译码冲突与(1)Admin/Defaults/frmDefaultSiteSettings.aspx，(2)Admin/Defaults/frmServerDefaults.aspx，(3)Admin/frmReportSettings.aspx，(4)Admin/frmSite.aspx，(5)App_Themes/Default/ButtonBarIcons.xml，(6)App_Themes/Default/Skin.xml，(7)Client/frmImportSettings.aspx，(8)Client/frmSeoSettings.aspx，(9)Services/Web.config，(10)aspnet_client/system_web/4_0_30319/，(11)clientaccesspolicy.xml，(12)cloudscan.exe，(13)crossdomain.xml，或(14)sitemap.xml有关。

漏洞公告

目前厂商还没有提供此漏洞的相关补丁或者升级程序，建议使用此软件的用户随时关注厂商的主页以获取最新版本：

http://www.smartertools.com/

参考网址

来源:US-CERT Vulnerability Note: VU#240150

名称: VU#240150

链接:http://www.kb.cert.org/vuls/id/240150

来源: xss.cx

链接:http://xss.cx/examples/smarterstats-60-oscommandinjection-directorytraversal-xml-sqlinjection.HTML.HTML

来源: www.kb.cert.org

链接:http://www.kb.cert.org/vuls/id/MORO-8GYQR4

受影响实体

• Smartertools Smarterstats:6.0  

补丁

暂无