ScanNetSecurity – AWStatsのクロスサイトスクリプティングの脆弱性の検証レポートを公表(NTTデータ・セキュリティ)
https://www.netsecurity.ne.jp/1_12203.html
ちょこっとみたところ、任意のjavascriptを実行可能ですね。
cookieの取得から、任意の外部サイトへ接続までできるようです。
# フィッシングにも利用可能ってことですかね。
awstatsの設置サイトにユーザを誘導する必要があるので、すぐには問題にならないかもですが、awstas.plへのアクセスに制限を設けていない場合は、IP制限,Basic認証等で保護しておく&awstats.plを6.9のものに差し替える必要がありますね。