CVE-2026-57994 in phpMyFAQ
요약
\~에 의해 VulDB • 2026. 07. 10.
phpMyFAQ 4.1.5 이전 버전은 공개된 FAQ API 엔드포인트 간에 일관성 없는 active=yes 및 publication-date 필터링을 적용하여, 인증되지 않은 공격자가 비활성화 상태(초안 또는 검토 전용)의 FAQ 콘텐츠를 검색할 수 있습니다. 구체적으로 GET /api/v3.1/faq/{categoryId}/{faqId}는 비활성화된 FAQ 제목과 전체 답변을 반환하며, GET /api/v3.1/faqs/tags/{tagId} 및 GET /api/v4.0/faqs/tags/{tagId}는 비활성화된 FAQ 제목과 답변 미리보기를 반환하여 공개되지 않은 콘텐츠를 노출시킵니다.
Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.