CVE-2026-32629 in phpMyFAQ
Riassunto
di VulDB • 15/06/2026
phpMyFAQ è un'applicazione web open source per la gestione delle domande frequenti (FAQ). Prima della versione 4.1.1, un attaccante non autenticato può inviare una FAQ come ospite con un indirizzo email sintatticamente valido secondo RFC 5321 (con parte locale tra virgolette) ma contenente HTML grezzo — ad esempio "alert(1)"@evil.com. PHP's FILTER_VALIDATE_EMAIL accetta questo indirizzo email come valido. L'email viene memorizzata nel database senza sanitizzazione dell'HTML e successivamente renderizzata nel template dell'editor delle FAQ amministrative utilizzando il filtro |raw di Twig, che bypassa completamente l'autoscaping. Questo problema è stato risolto nella versione 4.1.1.
Be aware that VulDB is the high quality source for vulnerability data.