描述：目標(biāo)存在跨站腳本攻擊。

1.跨站腳本攻擊就是指惡意攻擊者向網(wǎng)頁中插入一段惡意代碼，當(dāng)用戶瀏覽該網(wǎng)頁時(shí)，嵌入到網(wǎng)頁中的惡意代碼就會(huì)被執(zhí)行。

2.盡管swfupload.swf其對傳入ExternalInterface.call的第二個(gè)參數(shù)進(jìn)行了安全編碼，但對于函數(shù)名，即ExternalInterface.call的第一個(gè)參數(shù)沒有進(jìn)行安全編碼。而函數(shù)名中的部分字符可控，造成xss漏洞。

危害：

1.惡意用戶可以使用該漏洞來盜取用戶賬戶信息、模擬其他用戶身份登錄，更甚至可以修改網(wǎng)頁呈現(xiàn)給其他用戶的內(nèi)容。

2.惡意用戶可以使用Flash應(yīng)用的漏洞來進(jìn)行攻擊，當(dāng)攻擊者誘騙管理員成功點(diǎn)擊后，攻擊者成功可以直接拿到網(wǎng)站的WEBSHELL從而控制整個(gè)網(wǎng)站。

截止目前，官方（http://www.swfupload.org/）沒有針對此漏洞的修復(fù)補(bǔ)丁。

下面小編給大家整理兩條應(yīng)急方案：

解決一：更換其他上傳flash應(yīng)用

解決二：大家可以點(diǎn)此下載附件，替換站點(diǎn)上的同名文件,下載地址：https://pan.baidu.com/s/1SbmopKWCffc-MhjcoNoEdQ