Feng Office Community版本跨站脚本执行和任意文件上传漏洞
Feng Office是一个开源的在线协作系统,采用BS架构,运用php语言开发而成。Feng Office原为OpenGoo,自OpenGoo1.61版开始,改称Feng Office。 Feng Office Community版本在实现上存在跨站脚本执行和任意文件上传漏洞,远程攻击者可利用此漏洞执行跨站脚本攻击和控制受影响系统。 1)在返回给用户之前没有正确过滤通过"filename"和"slimContent" POST参数发送到public/assets/javascript/slimey/save.php的输入。可被利用造成在受影响站点的浏览器会话中执行任意HTML和脚本代码...