適切な HTML エスケープ処理が抜けているため、Faq-O-Matic は未チェックのスクリプトコードをブラウザに返してしまいます。 これにちょっと工夫を加えることで、攻撃者は Faq-O-Matic のモデレータか、管理者のうちの一人の Cookie を盗めてしまいます。
クロスサイトスクリプティング脆弱性とは、悪意のある人物が、 他の人のブラウザで JavaScript コードを実行させることができるという 種類の問題です。 JavaScript は、Faq-O-Matic FAQ マネージャの動いているウェブサイトの コンテクストにあり、犠牲者のマシンで実行されます。
この問題は、安定版 (stable) Debian ディストリビューションのバージョン 2.603-1.2 で、また現在のテスト版 (testing) / 不安定版 (unstable) ではバージョン 2.712-2 で修正されました。
faqomatic パッケージをインストールしている場合、アップグレードすることを 勧めます。
一覧にあるファイルの MD5 チェックサムは勧告の原文にあります。