发布日期：2002-04-20
更新日期：2002-04-25

受影响系统：

Jon Howell Faq-O-Matic 2.712
Jon Howell Faq-O-Matic 2.711
Jon Howell Faq-O-Matic

描述：

---

BUGTRAQ  ID: 4565
CVE(CAN) ID: CVE-2002-2011

Faq-O-Matic是一款基于WEB的FAQ管理系统，可运行在多种Linux和Unix操作系统下。

Faq-O-Matic对用户提交给URL的数据没有正确充分的处理，导致攻击者可以进行跨站脚本攻击。

Faq-O-Maticde中的fom.cgi脚本没有正确检查用户提交给"file"参数的内容，如果"file"参数的内容不存在，脚本就会把错误信息打印成HTML形式，攻击者可以在"file"参数中插入恶意脚本代码，当其他用户查看此连接时，就可以导致其中的脚本代码在用户浏览器上执行，导致基于Cookie认证的信息被泄露等问题。

<*来源：BrainRawt （brainrawt@hotmail.com）
  
  链接：http://archives.neohapsis.com/archives/bugtraq/2002-04/0287.html
*>

建议：

---

厂商补丁：

Jon Howell
----------
目前厂商还没有提供补丁或者升级程序，我们建议使用此软件的用户随时关注厂商的主页以获取最新版本：

http://faqomatic.sourceforge.net/

浏览次数：3003
严重程度：0（网友投票）