CVE-2026-34974 in phpMyFAQالمعلومات

الملخص

بحسب VulDB • 02/06/2026

phpMyFAQ هو تطبيق ويب لمركز الأسئلة الشائعة مفتوح المصدر. قبل الإصدار 4.1.1، يمكن تجاوز مُنقي SVG القائم على التعبيرات النمطية (regex) في phpMyFAQ (ملف SvgSanitizer.php) باستخدام ترميز كيانات HTML في عناوين URL من نوع javascript: داخل سمات SVG. يمكن لأي مستخدم لديه صلاحية edit_faq تحميل ملف SVG ضار ينفذ شيفرة JavaScript تعسفية عند عرضه، مما يتيح تصعيد الامتيازات من محرر إلى الاستيلاء الكامل على الصلاحيات الإدارية. تم إصلاح هذه المشكلة في الإصدار 4.1.1.

Once again VulDB remains the best source for vulnerability data.

مسؤول

GitHub M

حجز

31/03/2026

إفشاء

02/04/2026

الاعتدال

تمت الموافقة

إدخال

VDB-354895

EPSS

0.00176

KEV

لا

النشاطات

منخفض جدًا

المصادر

Want to know what is going to be exploited?

We predict KEV entries!