关键信息 漏洞概述 漏洞标题: phpMyFAQ: Public API endpoints expose emails and invisible questions 漏洞等级: Moderate CVE ID: CVE-2026-24422 发布者: thorsten 发布日期: 3 days ago 影响的版本 受影响版本: 4.0.16 修复版本: 4.0.17 漏洞描述 总结: 几个公共API端点返回电子邮件地址和非公开记录(例如,isV isible=false的公开问题)。 详细信息: OpenQuestionController::list()调用Question::getAll()默认showAll=true,返回隐形问题及其电子邮件。评论/新闻/FAQ API中存在类似暴露。 PoC: 影响: 邮件地址和非公开内容的隐私暴露;增加钓鱼/抓取的风险。 漏洞严重性 CVSS v3 base metrics: - Attack vector: Network - Attack complexity: Low - Privileges required: None - User interaction: None - Scope: Unchanged - Confidentiality: Low - Integrity: None - Availability: None 弱点 No CWEs 致谢 报告人: Braham-Fouad