Vulnerabilidad en phpMyFAQ (CVE-2024-28108)
Gravedad CVSS v3.1:
MEDIA
Tipo:
CWE-79
Neutralización incorrecta de la entrada durante la generación de la página web (Cross-site Scripting)
Fecha de publicación:
25/03/2024
Última modificación:
09/01/2025
Descripción
phpMyFAQ es una aplicación web de preguntas frecuentes de código abierto para PHP 8.1+ y MySQL, PostgreSQL y otras bases de datos. Debido a una validación insuficiente del parámetro "contentLink", es posible que usuarios no autenticados inyecten código HTML en la página, lo que podría afectar a otros usuarios. _Además, requiere que se permita agregar nuevas preguntas frecuentes a los invitados y que el administrador no verifique el contenido de las preguntas frecuentes recién agregadas._ Esta vulnerabilidad se corrigió en 3.2.6.
Impacto
Puntuación base 3.x
4.70
Gravedad 3.x
MEDIA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:phpmyfaq:phpmyfaq:3.2.5:*:*:*:*:*:*:* |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página
Referencias a soluciones, herramientas e información
- https://github.com/thorsten/phpMyFAQ/commit/4fed1d9602f0635260f789fe85995789d94d6634
- https://github.com/thorsten/phpMyFAQ/security/advisories/GHSA-48vw-jpf8-hwqh
- https://github.com/thorsten/phpMyFAQ/commit/4fed1d9602f0635260f789fe85995789d94d6634
- https://github.com/thorsten/phpMyFAQ/security/advisories/GHSA-48vw-jpf8-hwqh