BDU:2024-02325

Опубликовано: 25 мар. 2024

Источник: fstec

CVSS3: 5.5

CVSS2: 6.5

EPSS Низкий

Описание

Уязвимость функции FILTER_VALIDATE_EMAIL веб-приложения phpMyFAQ связана с непринятием мер по защите структуры веб-страницы. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, выполнить произвольный код

Вендор

Сообщество свободного программного обеспечения

Наименование ПО

phpMyFAQ

Версия ПО

от 3.2.5 до 3.2.6 (phpMyFAQ)

Тип ПО

Прикладное ПО информационных систем

Операционные системы и аппаратные платформы

Уровень опасности уязвимости

Средний уровень опасности (базовая оценка CVSS 2.0 составляет 6,5)

Средний уровень опасности (базовая оценка CVSS 3.0 составляет 5,5)

Возможные меры по устранению уязвимости

Использование рекомендаций:

https://github.com/thorsten/phpMyFAQ/security/advisories/GHSA-q7g6-xfh2-vhpx

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Существует в открытом доступе

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

https://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2024-27300
CVE

EPSS

Процентиль: 69%

0.00603

Низкий

5.5 Medium

CVSS3

6.5 Medium

CVSS2

Связанные уязвимости

CVE-2024-27300

CVSS3: 5.5

nvd

почти 2 года назад

phpMyFAQ is an open source FAQ web application for PHP 8.1+ and MySQL, PostgreSQL and other databases. The `email` field in phpMyFAQ's user control panel page is vulnerable to stored XSS attacks due to the inadequacy of PHP's `FILTER_VALIDATE_EMAIL` function, which only validates the email format, not its content. This vulnerability enables an attacker to execute arbitrary client-side JavaScript within the context of another user's phpMyFAQ session. This vulnerability is fixed in 3.2.6.

GHSA-q7g6-xfh2-vhpx

CVSS3: 5.5

github

почти 2 года назад

phpMyFAQ stored Cross-site Scripting at user email

EPSS

Процентиль: 69%

0.00603

Низкий

5.5 Medium

CVSS3

6.5 Medium

CVSS2