CVE-2024-27300

Versões do phpMyFAQ anteriores à 3.2.6

O problema está relacionado à inadequação da função FILTER VALIDATE EMAIL do PHP, que valida apenas o formato do e-mail, e não seu conteúdo. Isso permite que um invasor execute JavaScript arbitrário no lado do cliente dentro do contexto da sessão do phpMyFAQ de outro usuário. O campo email na página do painel de controle do usuário do phpMyFAQ está vulnerável a ataques XSS armazenados. Quando os dados armazenados são recuperados e exibidos em páginas da web, eles não são devidamente sanitizados para remover ou neutralizar qualquer conteúdo potencialmente prejudicial, como código JavaScript, o que leva a um XSS armazenado.

Para versões anteriores à 3.2.6, atualize para a versão 3.2.6 para corrigir a vulnerabilidade. Como solução temporária, considere restringir o acesso ao campo email na página do painel de controle do usuário até que a atualização seja aplicada. Além disso, evite usar a função FILTER VALIDATE EMAIL sozinha para validar o conteúdo de e-mail e garanta a sanitização adequada dos dados inseridos pelo usuário para prevenir ataques XSS armazenados.