CVE-2026-46361

Nome do Software Vulnerável e Versões Afetadas phpMyFAQ versões anteriores a 4.1.2

Descrição Um problema de cross-site scripting (XSS) armazenado existe no template search.twig, onde as variáveis result.question e result.answerPreview são renderizadas usando o filtro raw, que desativa a proteção de escape automático do mecanismo de template. Usuários com privilégios de editor ou contribuidor de FAQ podem explorar isso injetando payloads codificados como entidades HTML. No arquivo SearchController.php, a aplicação utiliza a combinação html entity decode(strip tags()) para processar resultados de pesquisa; essa sequência permite que payloads codificados ignorem o strip tags() e sejam restaurados como tags HTML executáveis. Consequentemente, JavaScript arbitrário pode ser executado no contexto do navegador de qualquer visitante, incluindo administradores, podendo levar à exfiltração de cookies de sessão e ao controle total da conta.

Recomendações Atualize para a versão 4.1.2 ou posterior. Remova o filtro raw dos campos controlados pelo usuário em search.twig, especificamente para result.question e result.answerPreview. Remova a função html entity decode() do pipeline de processamento de resultados de pesquisa em SearchController.php. Revise e sanitize outras instâncias do filtro raw em search.twig, como searchTags e relatedTags. Aplique htmlspecialchars() dentro da função logSearchTerm() para prevenir injeções secundárias.