Nikkoenggaliano

**Nome do software vulnerável e versões afetadas** Versões do phpMyFAQ anteriores à 3.2.5 **Descrição** O problema está relacionado a uma exibição insegura do nome do arquivo na área de administração do phpMyFAQ, especificamente no arquivo attachments.php, o que permite a execução de código JavaScript no lado do cliente, conhecida como ataque de Cross-Site Scripting (XSS). Isso ocorre porque o nome do arquivo é renderizado diretamente sem a devida sanitização, permitindo que um invasor injete código JavaScript malicioso. A vulnerabilidade pode ser explorada por um invasor com permissão para enviar anexos, que pode então armazenar uma carga útil XSS no banco de dados, especificamente na tabela `faqattachment`, coluna `filename`. Essa carga útil pode ser acionada em páginas que listam arquivos em tabelas, afetando potencialmente outros usuários. O número estimado de dispositivos potencialmente afetados em todo o mundo não foi especificado. **Recomendações** Para versões anteriores à 3.2.5, atualize para a versão 3.2.5 ou posterior para resolver o problema. Como solução alternativa temporária, considere usar a classe `Strings::htmlentities` existente para sanitizar as variáveis filename, record lang e mime type no arquivo attachments.php, a fim de impedir a execução de código JavaScript malicioso.