影响版本:
phpMyFAQ 2.6.x

漏洞描述:

phpMyFAQ是一款多语言、基于数据库的FAQ系统。

phpMyFAQ没有正确地过滤提交给index.php页面的请求参数便返回给了用户。远程攻击者可以通过提交恶意的URL请求向页面输出注入JavaScript代码,导致窃取域Cookie。

<*参考


?l=bugtraq&m=128578428215399&w=2
*>
测试方法:
 
本站提供程序(方法)可能带有攻击性,仅供安全研究与教学之用,风险自负!
&quot;&gt;&lt;script&gt;alert(&quot;XSS&quot;)&lt;/script&gt;

厂商补丁:

phpMyFAQ
--------
目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载: