← Retour
CVE-2026-46367
high
CVSS 7.6
Duplicate Advisory: phpMyFAQ: Stored XSS via Utils::parseUrl() in comment rendering
Résumé
Duplicate Advisory: phpMyFAQ: Stored XSS via Utils::parseUrl() in comment rendering
Résumé IA openai / gpt-4o
Une vulnérabilité référencée **CVE-2026-46367** a été découverte dans phpmyfaq.
Des attaquants peuvent cibler un point d'entrée spécifique comme ``main.enableCommentEditor`` à distance pour détourner le produit.
Des informations confidentielles peuvent être exposées. Score CVSS : 7.6/10.
Action : appliquez le correctif officiel de l'éditeur.
En cas de doute, contactez votre service informatique ou cherchez « phpmyfaq CVE-2026-46367 » sur le site de l'éditeur.
CVE-2026-46367 (phpmyfaq) — CWE-79 / CVSS v3 7.6
Vecteur d'attaque : distant (réseau)
Surface d'attaque : `main.enableCommentEditor` / `FILTER_SANITIZE_SPECIAL_CHARS` / `comment.macros.twig`
Versions affectées : `>= 4.1.1`
Plan : 1) Audit SBOM, 2) Mise à jour staging→prod, 3) Surveillance WAF/proxy sur les endpoints affectés, 4) Recherche d'IOC dans les logs.
Réfs : voir GHSA / avis éditeur / version corrigée liés sur cette page.
❓ Quel est le problème
phpMyFAQのUtils::parseUrl()における保存型クロスサイトスクリプティング脆弱性。
📍 Périmètre concerné
phpMyFAQ 4.1.2未満のバージョン。
🔥 Gravité
攻撃者はJavaScriptを注入し、管理者のセッションを奪取可能。高い影響度。
🔧 Comment corriger
phpMyFAQを4.1.2以降にアップデートする。
🛡️ Contournement
情報なし
🔍 Détection
アプリケーションログで不審なスクリプトの挿入を確認する。
Paquets affectés
composer
phpMyFAQ/phpMyFAQ
[{"type":"ECOSYSTEM","events":[{"introduced":"0"},{"fixed":"4.1.2"}]}]
composer
phpMyFAQ
[{"type":"ECOSYSTEM","events":[{"introduced":"0"},{"fixed":"4.1.2"}]}]
Packagist
phpMyFAQ/phpMyFAQ
[{"type":"ECOSYSTEM","events":[{"introduced":"0"},{"fixed":"4.1.2"}]}]
Packagist
phpMyFAQ
[{"type":"ECOSYSTEM","events":[{"introduced":"0"},{"fixed":"4.1.2"}]}]
composer
thorsten/phpmyfaq
[{"type":"ECOSYSTEM","events":[{"introduced":"0"},{"fixed":"4.1.2"}]}]
Packagist
thorsten/phpmyfaq
[{"type":"ECOSYSTEM","events":[{"introduced":"0"},{"fixed":"4.1.2"}]}]
Références
- advisory https://nvd.nist.gov/vuln/detail/CVE-2026-46367
- package https://github.com/thorsten/phpMyFAQ
- web https://github.com/thorsten/phpMyFAQ/security/advisories/GHSA-9525-27vj-c8r8
- web https://www.vulncheck.com/advisories/phpmyfaq-stored-xss-via-utils-parseurl-in-comment-rendering
- web https://github.com/advisories/GHSA-w42g-jj8w-fj77
- web https://github.com/advisories/GHSA-9525-27vj-c8r8