CVE-2026-32629

Name of the Vulnerable Software and Affected Versions phpMyFAQ versões anteriores a 4.1.1

Description antes da versão 4.1.1, um invasor não autenticado pode enviar uma FAQ de convidado com um endereço de e-mail contendo HTML bruto que é aceito como válido pela função FILTER VALIDATE EMAIL do PHP. Este e-mail é armazenado no banco de dados sem sanitização e renderizado no modelo de editor de FAQ de administração usando o filtro |raw do Twig, ignorando o auto-escape. Isso permite a execução de scripts arbitrários no navegador do administrador ao revisar a FAQ, potencialmente levando ao roubo de cookies de sessão e à tomada de controle total da conta de administrador.

Recommendations Atualize para a versão 4.1.1 ou posterior.