PT-2026-41362 · Phpmyfaq · Phpmyfaq

Offset

·

Publicado

2026-05-06

·

Atualizado

2026-05-15

·

CVE-2026-46360

CVSS v3.1

5.4

Média

VetorAV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N
Nome do Software Vulnerável e Versões Afetadas phpMyFAQ versões anteriores a 4.1.2
Descrição Um problema de cross-site scripting armazenado existe na função decodeAllEntities() da classe SvgSanitizer. A função limita a decodificação recursiva de entidades a 5 iterações, o que permite contornar o processo de sanitização. Usuários autenticados com a permissão FAQ EDIT podem fazer o upload de arquivos SVG maliciosos contendo codificação de e comercial (ampersand) profundamente aninhada em torno de entidades HTML numéricas. Essa técnica reconstrói URLs javascript:, levando à execução de JavaScript arbitrário quando outros usuários visualizam o arquivo SVG enviado.
Recomendações Atualize para a versão 4.1.2 ou posterior. Como mitigação temporária, restrinja a permissão FAQ EDIT apenas a usuários confiáveis.

Exploit

Correção

XSS

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾

Enumeração de Fraquezas

Identificadores relacionados

CVE-2026-46360
GHSA-WHQH-9PQ5-C7R3
GHSA-WJ3Q-VW2V-3RJ3

Produtos afetados

Phpmyfaq