phpMyFAQ action参数跨站脚本漏洞
文章发布时间: 2023-11-06     文章浏览次数: 10
CNVD-IDCNVD-2023-83071
公开日期2023-11-03
危害级别中 (AV:N/AC:L/Au:S/C:P/I:P/A:N)
影响产品Phpmyfaq phpMyFAQ <3.2.2
CVE IDCVE-2023-5863
漏洞描述phpMyFAQ是一个多语言、完全由数据库驱动的常见问题解答系统。

phpMyFAQ 3.2.2之前版本存在跨站脚本漏洞,该漏洞源于admin/index.php?action=的action参数对用户提供的数据缺乏有效过滤与转义,攻击者可利用该漏洞通过注入精心设计的有效载荷执行任意Web脚本或HTML。
漏洞类型通用型漏洞
参考链接https://huntr.com/bounties/fbfd4e84-61fb-4063-8f11-15877b8c1f6f
漏洞解决方案厂商已发布了漏洞修复程序,请及时关注更新:
https://github.com/thorsten/phpMyFAQ/releases/tag/3.2.2
厂商补丁phpMyFAQ action参数跨站脚本漏洞的补丁
验证信息(暂无验证信息)
报送时间2023-11-02
收录时间2023-11-03
更新时间2023-11-03
漏洞附件(无附件)


转自:https://www.cnvd.org.cn