极限OA办公系统存在多个跨站脚本漏洞

极限OA办公系统存在多个跨站脚本漏洞

发布日期：2012-04-23
更新日期：2012-04-23

受影响系统：
sohuu OA（Office Automation) 2011
描述：
--------------------------------------------------------------------------------
极限OA（Office Automation）是极限科技公司生产的一款基于PHP和MySQL开发的商用办公系统。

极限OA办公系统在实现上存在多处跨站脚本漏洞，包括：Web表单没有对用户提交的内容进行严格过滤，攻击者可构造恶意代码（如：JavaScript脚本）存储于服务器上，用户在浏览器打开相关页面时会自动执行恶意代码，导致网页仿冒、网页挂马、窃取cookies等攻击。

<*来源：CNCERT  
  *>

建议：
--------------------------------------------------------------------------------
厂商补丁：

sohuu
-----
目前厂商还没有提供补丁或者升级程序，我们建议使用此软件的用户随时关注厂商的主页以获取最新版本：

http://www.sohuu.com/