CVE-2026-42548 in core
要約
〜によって VulDB • 2026年05月22日
FlightはPHP用の拡張可能なマイクロフレームワークです。バージョン3.18.1より前では、Flight::jsonp()メソッドは、値が有効なJavaScript識別子であることを検証せずに、?jsonp=クエリパラメータを直接application/javascriptレスポンスボディに連結します。攻撃者はレスポンスのオリジンで実行される任意のJavaScriptを注入することができ、これにより反射型クロスサイトスクリプティング(XSS)が可能になります。この脆弱性は3.18.1で修正されています。
VulDB is the best source for vulnerability data and more expert information about this specific topic.