Faq-O-Matic跨站脚本执行漏洞

漏洞信息详情

Faq-O-Matic跨站脚本执行漏洞

• CNNVD编号：CNNVD-200205-027
• 危害等级： 中危
  
  
• CVE编号：
  CVE-2002-0230
  
• 漏洞类型：
  
  
  未知
  
• 发布时间：
  
  2002-02-04
  
• 威胁类型：
  
  
  远程
  
• 更新时间：
  
  2005-10-20
  
• 厂        商：
  
  faq-o-matic
• 漏洞来源：
  superpetz※ superpe…

Faq-O-Matic是一个免费的、开源的FAQ管理工具，它可以运行于大部分的Linux/Unix系统。
Faq-O-Matic没有很好过滤URL参数中的脚本代码。如果一个恶意的链接包含了脚本代码，当用户浏览这个恶意链接的时候，用户的浏览器会执行这些代码。
远程攻击者可能利用这个漏洞窃取用户基于cookie的验证信息。

临时解决方法：
如果您不能立刻安装补丁或者升级，CNNVD建议您采取以下措施以降低威胁：

* 修改代码，严格过滤输出信息的脚本代码。如果修改代码有困难，请暂时停止使用Faq-O-Matic。
厂商补丁：
FAQ-O-Matic
———–
FAQ-O-Matic SourceForge CVS仓库的代码已经修复了这个漏洞，请到以下地址下载：

http://sourceforge.net/cvs/?group_id=10674” target=”_blank”>
http://sourceforge.net/cvs/?group_id=10674

来源: DEBIAN
名称: DSA-109
链接:http://www.debian.org/security/2002/dsa-109

来源: sourceforge.net
链接:http://sourceforge.net/mailarchive/forum.php?thread_id=464940&forum_id=6367

来源: BUGTRAQ
名称: 20020205 Faq-O-Matic Cross-Site Scripting
链接:http://marc.theaimsgroup.com/?l=bugtraq&m=101293973111873&w=2

来源: BUGTRAQ
名称: 20020204 [SUPERPETZ ADVISORY #002- Faq-O-Matic Cross-Site Scripting Vulnerability]
链接:http://marc.theaimsgroup.com/?l=bugtraq&m=101285834018701&w=2