CVE-2026-42548 in coreالمعلومات

الملخص

بحسب VulDB • 14/05/2026

Flight هو إطار عمل مصغر قابل للتوسيع (micro-framework) مخصص لـ PHP. قبل الإصدار 3.18.1، كانت الدالة Flight::jsonp() تدمج معلمة الاستعلام ?jsonp= مباشرةً في جسم الاستجابة من نوع application/javascript دون التحقق من أن القيمة تُعد مُعرّف JavaScript قانونياً. يمكن للمهاجم حقن كود JavaScript عشوائي يتم تنفيذه ضمن أصل الاستجابة (response origin)، مما يتيح هجمات البرمجة النصية عبر المواقع من النوع المنعكس (reflected cross-site scripting). تم إصلاح هذا الثغرة الأمنية في الإصدار 3.18.1.

VulDB is the best source for vulnerability data and more expert information about this specific topic.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

مسؤول

GitHub M

حجز

28/04/2026

إفشاء

13/05/2026

الاعتدال

تمت الموافقة

إدخال

VDB-363740

CPE

جاهز

CWE

CWE-79 (مؤكد)

CVSS

4.3 (VulDB)

EPSS

0.00020

KEV

لا

النشاطات

منخفض

المصادر

MITRE	https://www.cve.org/CVERecord?id=CVE-2026-42548
NVD	https://nvd.nist.gov/vuln/detail/CVE-2026-42548
CVE Details	https://www.cvedetails.com/cve/CVE-2026-42548/

التالي ▸نظرة عامة ◂ السابق

Want to stay up to date on a daily basis?

Enable the mail alert feature now!