PT-2026-41355 · Phpmyfaq · Phpmyfaq
Adrgs
·
Publicado
2026-05-06
·
Atualizado
2026-05-15
·
CVE-2026-45008
CVSS v4.0
7.0
Alta
| Vetor | AV:N/AC:L/AT:N/PR:H/UI:N/VC:N/VI:H/VA:H/SC:N/SI:N/SA:N/E:X/CR:X/IR:X/AR:X/MAV:X/MAC:X/MAT:X/MPR:X/MUI:X/MVC:X/MVI:X/MVA:X/MSC:X/MSI:X/MSA:X/S:X/AU:X/R:X/V:X/RE:X/U:X |
Nome do Software Vulnerável e Versões Afetadas
phpMyFAQ versões anteriores a 4.1.2
Descrição
Um problema de path traversal existe na função
deleteClientFolder(). Isso permite que administradores com a permissão INSTANCE DELETE excluam diretórios arbitrários. Um invasor pode conseguir isso enviando sequências de travessia no parâmetro de URL client para excluir recursivamente diretórios fora do escopo da pasta de cliente pretendida.Recomendações
Atualize para a versão 4.1.2 ou posterior.
Como medida paliativa temporária, restrinja a permissão
INSTANCE DELETE apenas a administradores altamente confiáveis.Correção
Path traversal
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Phpmyfaq