CVE-2026-34973 in phpMyFAQinformazioni

Riassunto

di VulDB • 14/06/2026

phpMyFAQ è una web application open source per FAQ. Prima della versione 4.1.1, il metodo searchCustomPages() in phpmyfaq/src/phpMyFAQ/Search.php utilizza real_escape_string() (tramite escape()) per sanificare il termine di ricerca prima di inserirlo nelle clausole LIKE. Tuttavia, real_escape_string() non effettua l'escape dei metacaratteri SQL LIKE % (corrisponde a qualsiasi sequenza) e _ (corrisponde a un singolo carattere). Un attaccante non autenticato può iniettare questi caratteri jolly nelle query di ricerca, facendole corrispondere a record non previsti — inclusi contenuti che non dovevano essere resi visibili — causando una divulgazione di informazioni. Questo problema è stato risolto nella versione 4.1.1.

Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.

Responsabile

GitHub M

Prenotare

31/03/2026

Divulgazione

02/04/2026

Moderazione

accettato

CPE

pronto

EPSS

0.00336

KEV

no

Attività

molto basso

Fonti

Are you interested in using VulDB?

Download the whitepaper to learn more about our service!