← Retour
CMS / Site Builder
CVE-2026-46367 high CVSS 7.6

Duplicate Advisory: phpMyFAQ: Stored XSS via Utils::parseUrl() in comment rendering

Résumé

Duplicate Advisory: phpMyFAQ: Stored XSS via Utils::parseUrl() in comment rendering

Résumé IA openai / gpt-4o

Une vulnérabilité référencée **CVE-2026-46367** a été découverte dans phpmyfaq. Des attaquants peuvent cibler un point d'entrée spécifique comme ``main.enableCommentEditor`` à distance pour détourner le produit. Des informations confidentielles peuvent être exposées. Score CVSS : 7.6/10. Action : appliquez le correctif officiel de l'éditeur. En cas de doute, contactez votre service informatique ou cherchez « phpmyfaq CVE-2026-46367 » sur le site de l'éditeur.
CVE-2026-46367 (phpmyfaq) — CWE-79 / CVSS v3 7.6 Vecteur d'attaque : distant (réseau) Surface d'attaque : `main.enableCommentEditor` / `FILTER_SANITIZE_SPECIAL_CHARS` / `comment.macros.twig` Versions affectées : `>= 4.1.1` Plan : 1) Audit SBOM, 2) Mise à jour staging→prod, 3) Surveillance WAF/proxy sur les endpoints affectés, 4) Recherche d'IOC dans les logs. Réfs : voir GHSA / avis éditeur / version corrigée liés sur cette page.
❓ Quel est le problème
phpMyFAQのUtils::parseUrl()における保存型クロスサイトスクリプティング脆弱性。
📍 Périmètre concerné
phpMyFAQ 4.1.2未満のバージョン。
🔥 Gravité
攻撃者はJavaScriptを注入し、管理者のセッションを奪取可能。高い影響度。
🔧 Comment corriger
phpMyFAQを4.1.2以降にアップデートする。
🛡️ Contournement
情報なし
🔍 Détection
アプリケーションログで不審なスクリプトの挿入を確認する。

Paquets affectés

composer phpMyFAQ/phpMyFAQ
[{"type":"ECOSYSTEM","events":[{"introduced":"0"},{"fixed":"4.1.2"}]}]
composer phpMyFAQ
[{"type":"ECOSYSTEM","events":[{"introduced":"0"},{"fixed":"4.1.2"}]}]
Packagist phpMyFAQ/phpMyFAQ
[{"type":"ECOSYSTEM","events":[{"introduced":"0"},{"fixed":"4.1.2"}]}]
Packagist phpMyFAQ
[{"type":"ECOSYSTEM","events":[{"introduced":"0"},{"fixed":"4.1.2"}]}]
composer thorsten/phpmyfaq
[{"type":"ECOSYSTEM","events":[{"introduced":"0"},{"fixed":"4.1.2"}]}]
Packagist thorsten/phpmyfaq
[{"type":"ECOSYSTEM","events":[{"introduced":"0"},{"fixed":"4.1.2"}]}]

Références

🍪 À propos des cookies

Nous utilisons des cookies pour conserver votre session, mémoriser la langue et améliorer le service.

En savoir plus →