发布日期：2012-04-23
更新日期：2012-04-23

受影响系统：

sohuu OA（Office Automation) 2011

描述：

---

极限OA（Office Automation）是极限科技公司生产的一款基于PHP和MySQL开发的商用办公系统。

极限OA办公系统在实现上存在多处跨站脚本漏洞，包括：Web表单没有对用户提交的内容进行严格过滤，攻击者可构造恶意代码（如：JavaScript脚本）存储于服务器上，用户在浏览器打开相关页面时会自动执行恶意代码，导致网页仿冒、网页挂马、窃取Cookies等攻击。

<*来源：CNCERT
  
  链接：http://www.cert.org.cn/publish/main/9/2012/20120424155302606855667/20120424155302606855667_.html
*>

建议：

---

厂商补丁：

sohuu
-----
目前厂商已经发布了2012-04-26修正合集，增加js代码过滤选项、内部短信过滤js代码。用户可登录OA系统，通过系统管理-》系统安全设置-》选择是否禁止JS特效，即可禁止编辑器中输入JS脚本代码，对其进行过滤。

修正合集下载页面：http://www.sohuu.com/download/sp2012.php

浏览次数：3255
严重程度：0（网友投票）