Informazioni sul CVE-2024-56199

phpMyFAQ Vulnerable to Stored HTML Injection at FAQ

CWE ID: CWE-79

Base Score (CVSS): N/A

CVE: CVE-2024-56199

Descrizione: phpMyFAQ is an open source FAQ web application. Starting no later than version 3.2.10 and prior to version 4.0.2, an attacker can inject malicious HTML content into the FAQ editor at `http[:]//localhost/admin/index[.]php?action=editentry`, resulting in a complete disruption of the FAQ page’s user interface. By injecting malformed HTML elements styled to cover the entire screen, an attacker can render the page unusable. This injection manipulates the page structure by introducing overlapping buttons, images, and iframes, breaking the intended layout and functionality. Exploiting this issue can lead to Denial of Service for legitimate users, damage to the user experience, and potential abuse in phishing or defacement attacks. Version 4.0.2 contains a patch for the vulnerability.

Vettore di attacco CVSS:3.1/AV:N/AC:L/PR:H/UI:R/S:U/C:N/I:H/A:L

Punteggio CVSS

Il CVSS è un sistema di valutazione che misura la gravità di una vulnerabilità informatica considerando fattori come l’impatto potenziale, la probabilità di attacco e la facilità di esecuzione.

Punteggio Base (calcolato da AziendaSicura): 5.1 (Medium)

Riassunto: Accesso: Network, Privilegi: High, Interazione utente: Required, Confidenzialità: None, Integrità: High, Disponibilità: Low.

Dettaglio del Vettore

Metrica	Valore	Significato	Descrizione
Attack Vector (AV)	N	Network	L’attacco può essere eseguito da remoto attraverso la rete.
Attack Complexity (AC)	L	Low	L’attacco non richiede condizioni particolari.
Privileges Required (PR)	H	High	Richiede privilegi elevati.
User Interaction (UI)	R	Required	È richiesta l’interazione di un utente.
Scope (S)	U	Unchanged	Il raggio d’azione non cambia.
Confidentiality Impact (C)	N	None	Nessun impatto sulla riservatezza.
Integrity Impact (I)	H	High	Grave impatto sull’integrità.
Availability Impact (A)	L	Low	Interferenza limitata.

Riferimenti esterni

https://github.com/thorsten/phpMyFAQ/security/advisories/GHSA-ww33-jppq-qfrp

Prodotti interessati

thorsten – phpMyFAQ

Relazioni con altri prodotti

Produttore:thorsten
Prodotto: phpMyFAQ
Anno: 2024
CWE: CWE-79
CVSS: 0.0

Ulteriori risorse disponibili

Vulnerabilità scoperte nello stesso anno (2024)