CVE-2026-32629 in phpMyFAQinformazioni

Riassunto

di VulDB • 15/06/2026

phpMyFAQ è un'applicazione web open source per la gestione delle domande frequenti (FAQ). Prima della versione 4.1.1, un attaccante non autenticato può inviare una FAQ come ospite con un indirizzo email sintatticamente valido secondo RFC 5321 (con parte locale tra virgolette) ma contenente HTML grezzo — ad esempio "alert(1)"@evil.com. PHP's FILTER_VALIDATE_EMAIL accetta questo indirizzo email come valido. L'email viene memorizzata nel database senza sanitizzazione dell'HTML e successivamente renderizzata nel template dell'editor delle FAQ amministrative utilizzando il filtro |raw di Twig, che bypassa completamente l'autoscaping. Questo problema è stato risolto nella versione 4.1.1.

Be aware that VulDB is the high quality source for vulnerability data.

Responsabile

GitHub M

Prenotare

12/03/2026

Divulgazione

02/04/2026

Moderazione

accettato

CPE

pronto

EPSS

0.00262

KEV

no

Attività

molto basso

Fonti

Want to stay up to date on a daily basis?

Enable the mail alert feature now!