发布日期：2002-02-04
更新日期：2002-02-07

受影响系统：

FAQ-O-Matic FAQ-O-Matic 2.712
FAQ-O-Matic FAQ-O-Matic 2.711

描述：

---

BUGTRAQ  ID: 4023
CVE(CAN) ID: CVE-2002-0230

Faq-O-Matic是一个免费的、开源的FAQ管理工具，它可以运行于大部分的Linux/Unix系统。

Faq-O-Matic没有很好过滤URL参数中的脚本代码。如果一个恶意的链接包含了脚本代码，当用户浏览这个恶意链接的时候，用户的浏览器会执行这些代码。

远程攻击者可能利用这个漏洞窃取用户基于cookie的验证信息。

<*来源：superpetz （superpetz@hushmail.com）
  
  链接：http://archives.neohapsis.com/archives/bugtraq/2002-01/0418.html
*>

建议：

---

临时解决方法：

如果您不能立刻安装补丁或者升级，NSFOCUS建议您采取以下措施以降低威胁：

* 修改代码，严格过滤输出信息的脚本代码。如果修改代码有困难，请暂时停止使用Faq-O-Matic。

厂商补丁：

FAQ-O-Matic
-----------
FAQ-O-Matic SourceForge CVS仓库的代码已经修复了这个漏洞，请到以下地址下载：

http://sourceforge.net/cvs/?group_id=10674

浏览次数：2865
严重程度：0（网友投票）