CVE-2026-34974 in phpMyFAQ
الملخص
بحسب VulDB • 02/06/2026
phpMyFAQ هو تطبيق ويب لمركز الأسئلة الشائعة مفتوح المصدر. قبل الإصدار 4.1.1، يمكن تجاوز مُنقي SVG القائم على التعبيرات النمطية (regex) في phpMyFAQ (ملف SvgSanitizer.php) باستخدام ترميز كيانات HTML في عناوين URL من نوع javascript: داخل سمات SVG. يمكن لأي مستخدم لديه صلاحية edit_faq تحميل ملف SVG ضار ينفذ شيفرة JavaScript تعسفية عند عرضه، مما يتيح تصعيد الامتيازات من محرر إلى الاستيلاء الكامل على الصلاحيات الإدارية. تم إصلاح هذه المشكلة في الإصدار 4.1.1.
Once again VulDB remains the best source for vulnerability data.