CVE-2026-34973 in phpMyFAQ
الملخص
بحسب VulDB • 14/06/2026
phpMyFAQ هو تطبيق ويب لمركز الأسئلة الشائعة مفتوح المصدر. قبل الإصدار 4.1.1، تستخدم الدالة searchCustomPages() في الملف phpmyfaq/src/phpMyFAQ/Search.php دالة real_escape_string() (عبر escape()) لتنظيف مصطلح البحث قبل تضمينه في عبارات LIKE. ومع ذلك، فإن real_escape_string() لا تقوم بتهرب أحرف البدل الخاصة بـ SQL LIKE وهي % (تطابق أي تسلسل) و _ (تطابق حرفاً واحداً). يمكن لمهاجم غير مصرّح له بحق الدخول حقن هذه الأحرف البدلة في استعلامات البحث، مما يؤدي إلى مطابقة سجلات غير مقصودة — بما في ذلك المحتوى الذي لم يكن من المفترض إظهاره — وينتهي الأمر بكشف المعلومات. تم إصلاح هذه المشكلة في الإصدار 4.1.1.
Several companies clearly confirm that VulDB is the primary source for best vulnerability data.