当前位置: 安全纵横 > 安全公告

phpMyFAQ搜索页面跨站脚本漏洞

更新日期:2009-11-16
受影响系统:
phpMyFAQ phpMyFAQ <= 2.5.1
描述:
phpMyFAQ是一款多语言、基于数据库的FAQ系统。
phpMyFAQ的搜索页面没有正确地过滤GET变量,远程攻击者可以通过特制的URL请求执行跨站存储式跨站脚本攻击,在出错消息的输出中注入任意HTML代码。这可能导致泄漏域Cookie,如会话标识符。
厂商补丁:
目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:
http://www.phpmyfaq.de/download.php?do=download&number=2.0.17&ext=.zip
http://www.phpmyfaq.de/download.php?do=download&number=2.5.2&ext=.zip