CVE-2026-42548 in coreinformación

Resumen

por VulDB • 2026-05-13

Flight es un microframework extensible para PHP. Antes de la versión 3.18.1, Flight::jsonp() concatena el parámetro de consulta ?jsonp= directamente en el cuerpo de la respuesta application/javascript sin validar que el valor sea un identificador de JavaScript válido. Un atacante puede inyectar JavaScript arbitrario que se ejecuta en el origen de la respuesta, lo que permite una vulnerabilidad de cross-site scripting (XSS) reflejada. Esta vulnerabilidad está corregida en la versión 3.18.1.

Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

Responsable

GitHub M

Reservar

2026-04-28

Divulgación

2026-05-13

Moderación

aceptado

Artículo

VDB-363740

CPE

listo

CWE

CWE-79 (confirmado)

CVSS

4.3 (VulDB)

EPSS

0.00020

KEV

Actividades

bajo

Fuentes

MITRE	https://www.cve.org/CVERecord?id=CVE-2026-42548
NVD	https://nvd.nist.gov/vuln/detail/CVE-2026-42548
CVE Details	https://www.cvedetails.com/cve/CVE-2026-42548/

◂ Anterior Visión De Conjunto Próximo ▸

Are you interested in using VulDB?

Download the whitepaper to learn more about our service!