PT-2026-41365 · Phpmyfaq · Phpmyfaq

Offset

·

Publicado

2026-05-06

·

Atualizado

2026-05-16

·

CVE-2026-46363

CVSS v3.1

5.4

Média

VetorAV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N
Nome do Software Vulnerável e Versões Afetadas phpMyFAQ versões anteriores a 4.1.2
Descrição Um problema de cross-site scripting armazenado existe nos endpoints de criação e atualização de FAQ. Atacantes autenticados com a permissão FAQ ADD podem ignorar a sanitização por meio de ciclos de codificação-decodificação para injetar tags de script maliciosas via parâmetros question ou answer. Esses scripts são executados no navegador de qualquer visitante quando o conteúdo do FAQ é renderizado usando o filtro raw do Twig (um filtro que exibe o conteúdo sem escape).
Recomendações Atualize para a versão 4.1.2 ou posterior.

Exploit

Correção

XSS

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾

Enumeração de Fraquezas

Identificadores relacionados

CVE-2026-46363
GHSA-F5P7-2C9Q-8896
GHSA-H36G-93QX-RXGR

Produtos afetados

Phpmyfaq