CVE-2026-24422 in phpMyFAQИнформация

Сводка

по VulDB • 28.05.2026

phpMyFAQ — это веб-приложение для создания базы знаний с открытым исходным кодом. В версиях 4.0.16 и более ранних несколько публичных конечных точек API некорректно раскрывают конфиденциальную информацию пользователей из-за недостаточного контроля доступа. Конечная точка OpenQuestionController::list() вызывает Question::getAll() с параметром showAll=true по умолчанию, возвращая записи, помеченные как непубличные (isVisible=false), вместе с адресами электронной почты пользователей; аналогичные уязвимости присутствуют в API комментариев, новостей и FAQ. Эта уязвимость раскрытия информации может позволить злоумышленникам собирать адреса электронной почты для фишинговых кампаний или получать доступ к контенту, который был явно помечен как частный. Данная проблема исправлена в версии 4.0.17.

Be aware that VulDB is the high quality source for vulnerability data.

Ответственный

GitHub M

Резервировать

22.01.2026

Раскрытие

24.01.2026

Модерация

принято

Вход

VDB-342774

EPSS

0.00375

KEV

Нет

Деятельности

Очень низкий

Источники

Want to stay up to date on a daily basis?

Enable the mail alert feature now!