CVE-2024-28108

Versões do phpMyFAQ anteriores à 3.2.6

O problema está relacionado à validação insuficiente do parâmetro contentLink, permitindo que usuários não autenticados injetem código HTML na página, o que pode afetar outros usuários. Isso requer que a adição de novas FAQs seja permitida para visitantes e que o administrador não verifique o conteúdo de uma FAQ recém-adicionada. Os invasores podem manipular a aparência e a funcionalidade das páginas da web injetando código HTML malicioso, levando a resultados indesejáveis, como desfigurar o site, redirecionar usuários para sites maliciosos ou alterar o conteúdo para enganar os usuários.

Para versões anteriores à 3.2.6, atualize para a versão 3.2.6 para corrigir a vulnerabilidade. Como solução temporária, considere desativar a capacidade dos visitantes de adicionar novas FAQs ou certifique-se de que os administradores verifiquem o conteúdo das FAQs recém-adicionadas para minimizar o risco de exploração. Restrinja o acesso ao parâmetro contentLink para impedir a injeção de HTML até que o problema seja resolvido.