CVE-2026-46364

Nome do Software Vulnerável e Versões Afetadas phpMyFAQ versões anteriores a 4.1.2

Descrição Uma injeção de SQL não autenticada existe nos métodos BuiltinCaptcha::garbageCollector() e BuiltinCaptcha::saveCaptcha(). O problema ocorre quando cabeçalhos User-Agent não sanitizados são interpolados em consultas DELETE e INSERT. Atacantes não autenticados podem explorar o endpoint ' /api/captcha' criando cabeçalhos User-Agent maliciosos para realizar uma injeção de SQL cega baseada em tempo, permitindo a extração de dados sensíveis, como credenciais de usuário, tokens de administrador e credenciais SMTP do banco de dados. Mais de 1.200 dispositivos potencialmente afetados foram identificados.

Recomendações Atualize para a versão 4.1.2 ou posterior.