VULHUB ™

Feng Office是一个开源的在线协作系统，采用BS架构，运用php语言开发而成。Feng Office原为OpenGoo，自OpenGoo1.61版开始，改称Feng Office。 Feng Office Community版本在实现上存在跨站脚本执行和任意文件上传漏洞，远程攻击者可利用此漏洞执行跨站脚本攻击和控制受影响系统。 1）在返回给用户之前没有正确过滤通过"filename"和"slimContent" POST参数发送到public/assets/javascript/slimey/save.php的输入。可被利用造成在受影响站点的浏览器会话中执行任意HTML和脚本代码。 2）public/assets/javascript/ckeditor/ck_upload_handler.php脚本没有正确验证上传的文件，导致可上传任意扩展名的文件。 Feng Office 1.x 厂商补丁： Feng Office ----------- 目前厂商还没有提供补丁或者升级程序，我们建议使用此软件的用户随时关注厂商的主页以获取最新版本： www.fengoffice.com/

Feng Office是一个开源的在线协作系统，采用BS架构，运用php语言开发而成。Feng Office原为OpenGoo，自OpenGoo1.61版开始，改称Feng Office。 Feng Office Community版本在实现上存在跨站脚本执行和任意文件上传漏洞，远程攻击者可利用此漏洞执行跨站脚本攻击和控制受影响系统。 1）在返回给用户之前没有正确过滤通过"filename"和"slimContent" POST参数发送到public/assets/javascript/slimey/save.php的输入。可被利用造成在受影响站点的浏览器会话中执行任意HTML和脚本代码。 2）public/assets/javascript/ckeditor/ck_upload_handler.php脚本没有正确验证上传的文件，导致可上传任意扩展名的文件。 Feng Office 1.x 厂商补丁： Feng Office ----------- 目前厂商还没有提供补丁或者升级程序，我们建议使用此软件的用户随时关注厂商的主页以获取最新版本： www.fengoffice.com/