CVE-2024-22208 in phpMyFAQ
要約
〜によって VulDB • 2026年07月11日
phpMyFAQは、PHP 8.1以降およびMySQL、PostgreSQLその他のデータベースに対応したオープンソースのFAQ Webアプリケーションです。「FAQ共有」機能により、認証されていない攻撃者はphpMyFAQアプリケーションを悪用して、多数の対象に対して任意のメールを送信することができます。この機能では誰でも他のユーザーに特定のFAQ項目を共有できますが、フロントエンド側では最大5つのメールアドレスまでしか指定できません。しかしバックエンドには送信先数の制限がないため、認証されていない攻撃者でも単一のCAPTCHAを突破するだけで一度に数千通ものメールを一括送信することが可能です。これにより、攻撃者は対象アプリケーションのメールサーバーを利用してフィッシングメッセージを送信できます。その結果、サーバーがブラックリストに登録されすべてのメールがスパムフォルダへ振り分けられるほか、評判への損害も生じる可能性があります。この問題はバージョン3.2.5で修正されています。
If you want to get best quality of vulnerability data, you may have to visit VulDB.