发布日期：2011-03-28
更新日期：2011-03-29

受影响系统：

Feng Office Feng Office 1.x

描述：

---

Feng Office是一个开源的在线协作系统，采用BS架构，运用php语言开发而成。Feng Office原为OpenGoo，自OpenGoo1.61版开始，改称Feng Office。

Feng Office Community版本在实现上存在跨站脚本执行和任意文件上传漏洞，远程攻击者可利用此漏洞执行跨站脚本攻击和控制受影响系统。

1）在返回给用户之前没有正确过滤通过"filename"和"slimContent" POST参数发送到public/assets/javascript/slimey/save.php的输入。可被利用造成在受影响站点的浏览器会话中执行任意HTML和脚本代码。

2）public/assets/javascript/ckeditor/ck_upload_handler.php脚本没有正确验证上传的文件，导致可上传任意扩展名的文件。

<*来源：John Leitch
  *>

建议：

---

厂商补丁：

Feng Office
-----------
目前厂商还没有提供补丁或者升级程序，我们建议使用此软件的用户随时关注厂商的主页以获取最新版本：

www.fengoffice.com/

浏览次数：3553
严重程度：0（网友投票）