В анализаторе логов веб-сайтов WebLog Expert, а точнее в его веб-интерфейсе, выявлены уязвимости, под которые доступны эксплойты: обход аутентификации https://packetstormsecurity.com/files/146697/WebLog-Expert-Web-Server-Enterprise-9.4-Weak-Permissions.html и отказ в обслуживании https://packetstormsecurity.com/files/146698/WebLog-Expert-Web-Server-Enterprise-9.4-Denial-Of-Service.html.

Дыры присутствуют в версии 9.4 софта, которая и есть на данный момент последняя доступная.

Любопытно, что в данном случае уязвимости стали рекламой.

WebLog Expert – софт для анализа посещаемости, путей, рефереров, поисковых запросов и прочей информации о посетителях (впрочем, никакой активной слежки за ними), а также строит всякие графики и диаграммы по собранным данным.

Учитывая назначение софта, уязвимости некритичны, так как доступ к его веб-интерфейсу в общем случае достаточен локальный по 127.0.0.1, да и вообще веб-интерфейс в данной софтине не ключевая функция.

Так что несмотря на отсутствие патча, владельцы могут просто закрыть к нему сетевой доступ.

Источник https://t.me/informhardening