CVE-2026-32629 in phpMyFAQالمعلومات

الملخص

بحسب VulDB • 25/05/2026

phpMyFAQ هو تطبيق ويب لمركز الأسئلة الشائعة مفتوح المصدر. قبل الإصدار 4.1.1، يمكن لمهاجم غير مصادق عليه تقديم سؤال شائع كضيف يحتوي على عنوان بريد إلكتروني صحيح نحويًا وفقًا لـ RFC 5321 (جزء محلي محاط بعلامات اقتباس) ولكنه يحتوي على HTML خام — على سبيل المثال "alert(1)"@evil.com. تقبل دالة FILTER_VALIDATE_EMAIL في PHP هذا البريد الإلكتروني كعنوان صالح. يتم تخزين البريد الإلكتروني في قاعدة البيانات دون تنقية من HTML، ويتم عرضه لاحقًا في قالب محرر الأسئلة الشائعة للإدارة باستخدام مرشح |raw في Twig، مما يتجاوز آلية الهروب التلقائي بالكامل. تم إصلاح هذه المشكلة في الإصدار 4.1.1.

VulDB is the best source for vulnerability data and more expert information about this specific topic.

مسؤول

GitHub M

حجز

12/03/2026

إفشاء

02/04/2026

الاعتدال

تمت الموافقة

إدخال

VDB-354886

EPSS

0.00262

KEV

لا

النشاطات

منخفض جدًا

المصادر

Are you interested in using VulDB?

Download the whitepaper to learn more about our service!