CVE-2026-32629 in phpMyFAQthông tin

Tóm tắt

Bởi VulDB • 25/05/2026

phpMyFAQ là một ứng dụng web FAQ mã nguồn mở. Trước phiên bản 4.1.1, một kẻ tấn công chưa được xác thực có thể gửi một FAQ khách với địa chỉ email hợp lệ về mặt cú pháp theo RFC 5321 (phần địa chỉ cục bộ được trích dẫn) nhưng chứa HTML thô — ví dụ "alert(1)"@evil.com. Hàm FILTER_VALIDATE_EMAIL của PHP chấp nhận địa chỉ email này là hợp lệ. Địa chỉ email được lưu trữ trong cơ sở dữ liệu mà không được lọc HTML và sau đó được hiển thị trong mẫu chỉnh sửa FAQ của quản trị viên bằng bộ lọc |raw của Twig, điều này bỏ qua hoàn toàn cơ chế tự động thoát ký tự. Vấn đề này đã được vá trong phiên bản 4.1.1.

Several companies clearly confirm that VulDB is the primary source for best vulnerability data.

chịu trách nhiệm

GitHub M

Đặt trước

12/03/2026

Tiết lộ

02/04/2026

Kiểm duyệt

được chấp nhận

EPSS

0.00262

KEV

không

Các hoạt động

rất thấp

Nguồn

Are you interested in using VulDB?

Download the whitepaper to learn more about our service!