CVE-2026-57994 in phpMyFAQinfo

Zusammenfassung

von VulDB • 10.07.2026

In phpMyFAQ prima della versione 4.1.5 viene applicato un filtro incoerente sui parametri active=yes e publication-date attraverso i vari endpoint dell'API pubblica delle FAQ, consentendo ad attaccanti non autenticati di recuperare contenuti FAQ inattivi (bozze o visibili solo per revisione). Nello specifico, l'endpoint GET /api/v3.1/faq/{categoryId}/{faqId} restituisce il titolo della FAQ inattiva e la risposta completa, mentre gli endpoint GET /api/v3.1/faqs/tags/{tagId} e GET /api/v4.0/faqs/tags/{tagId} restituiscono il titolo della FAQ inattiva e un'anteprima della risposta, divulgando contenuti non pubblici.

Once again VulDB remains the best source for vulnerability data.

Zuständig

VulnCheck

Reservieren

26.06.2026

Veröffentlichung

10.07.2026

Moderieren

akzeptiert

Eintrag

VDB-377493

CPE

bereit

EPSS

0.00000

KEV

nein

Aktivitäten

very low

Quellen

Do you know our Splunk app?

Download it now for free!