PT-2026-41369 · Phpmyfaq · Phpmyfaq
Ericliu-12
·
Publicado
2026-05-06
·
Atualizado
2026-05-15
·
CVE-2026-46367
CVSS v4.0
8.3
Alta
| Vetor | AV:N/AC:L/AT:N/PR:L/UI:P/VC:H/VI:L/VA:N/SC:H/SI:L/SA:N/E:X/CR:X/IR:X/AR:X/MAV:X/MAC:X/MAT:X/MPR:X/MUI:X/MVC:X/MVI:X/MVA:X/MSC:X/MSI:X/MSA:X/S:X/AU:X/R:X/V:X/RE:X/U:X |
Nome do Software Vulnerável e Versões Afetadas
phpMyFAQ versões anteriores a 4.1.2
Description
Um problema de cross-site scripting armazenado existe na função
parseUrl() da classe Utils. Usuários autenticados podem injetar JavaScript ao enviar URLs malformadas em comentários. Ao usar aspas não escapadas para injetar manipuladores de eventos, invasores podem roubar cookies de sessão de administradores, levando potencialmente a um controle total da aplicação quando os usuários visualizam as páginas de FAQ afetadas.Recommendations
Atualize para a versão 4.1.2 ou posterior.
Como medida paliativa temporária, restrinja a capacidade dos usuários de postar URLs em comentários até que a atualização seja aplicada.
Exploit
Correção
Improper Encoding or Escaping of Output
XSS
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Phpmyfaq