Phpmyfaq · Phpmyfaq · CVE-2026-46367
**Nome do Software Vulnerável e Versões Afetadas**
phpMyFAQ versões anteriores a 4.1.2
**Description**
Um problema de cross-site scripting armazenado existe na função `parseUrl()` da classe `Utils`. Usuários autenticados podem injetar JavaScript ao enviar URLs malformadas em comentários. Ao usar aspas não escapadas para injetar manipuladores de eventos, invasores podem roubar cookies de sessão de administradores, levando potencialmente a um controle total da aplicação quando os usuários visualizam as páginas de FAQ afetadas.
**Recommendations**
Atualize para a versão 4.1.2 ou posterior.
Como medida paliativa temporária, restrinja a capacidade dos usuários de postar URLs em comentários até que a atualização seja aplicada.