研究人員發現，近一年來約50個美國政軍網站經常出現色情和垃圾內容，多次反饋下線又重新出現，包括參議員Jon Tester網站、明尼蘇達州國民警衛隊網站等；

　　經分析，這些網站都使用了同一個軟件Laserfiche Forms，該軟件的一個文件上傳漏洞遭大量利用，攻擊者可上傳發布不良內容；

　　Laserfiche已發布清理工具和修復補丁，但還有部分版本目前沒有得到修復。

　　去年至今，多個使用。gov及。mil域名的美國政府和軍隊網站被發現托管有色情及垃圾內容，其中包括偉哥廣告。

　　一位安全研究人員注意到，所有這些站點都使用著同一家軟件供應商。

　　色情美國

　　安全研究人員Zach Edwards發現，。gov及。mil域名中出現色情內容問題的源頭是政府承包商Laserfiche提供的通用軟件產品。

　　Laserfiche目前為FBI、CIA、美國財政部、軍方及眾多其他政府機構提供服務。

　　Laserfiche旗下的電子表格（Forms）產品存在一個漏洞，允許攻擊者在擁有良好信譽的政府網站上推送惡意與垃圾內容。

　　可以看到，谷歌能夠索引出政府網站上的垃圾內容

　　發現并披露該問題的Edwards表示，“這個漏洞給。gov與。mil域帶來了網絡釣魚誘餌，會將訪問者重新定向至惡意目的地，并可能配合其他漏洞共同發起攻擊。”

　　經過一年多的漏洞追蹤，Edwards發現美國參議員Jon Tester的網站與明尼蘇達州國民警衛隊站點都會將用戶跳轉至偉哥產品頁面。

　　他還分享了一段視頻，展示了該漏洞的實際效果，并表示他“大約在50個不同的政府網站子域上”發現了類似的情況。

　　這當然不是垃圾傳播分子的唯一獲利手段。此前，攻擊者還曾濫用國家氣象局等政府網站為了搜索引擎優化而開放的重新定向功能，將用戶重新定向至色情網站。

　　Laiserfiche發布清理工具，

　　但部分版本并未得到修復

　　Laserfiche目前已經發布了針對此項漏洞的安全公告，并給出網站垃圾內容的清除說明。

　　根據Laserfiche公司的介紹，問題的根本原因在于未經身份驗證的文件上傳漏洞。

　　Laserfiche Forms中包含一個具備文件上傳字段的公開表單。未經身份驗證的外部人士可以訪問該表單，借此將文件上傳至其他用戶的Web門戶，這樣發布的內容就能在網絡上接受臨時訪問。

　　該公司在安全公告中表示，“本公告中提及的漏洞已經遭到某種方式的利用，未經身份驗證的第三方可以使用Laserfiche Forms臨時托管并分發所上傳的文件。”

　　“有效的客戶表單提交數據并不受影響，第三方無法訪問這部分內容。我們的安全更新縮短了臨時文件下載鏈接處于活動狀態的時長，從而解決了此項漏洞。”

　　目前似乎已經有政府客戶在采取補救措施，前文提到的部分搜索結果（之前顯示為垃圾內容）現在會通過Laserfiche Forms實例彈出錯誤：

　　訪問垃圾鏈接時，運行Laserfiche Forms的政府網站現在會彈出錯誤

　　但Edwards對這樣的結果并不滿意，因為Laserfiche出于種種原因沒能全面修復所有產品版本中的漏洞。

　　Laserfiche公司表示，“請注意，部分版本的更新目前尚未發布。”

　　“我們認為應抓緊時間向各解決方案供應商及客戶發布漏洞情況與可用更新。很快，針對部分Laserfiche Forms先前版本的安全更新就會公開發布。”

　　Laserfiche還發布了一款清理工具，可供客戶清除門戶網站中的未授權上傳內容。