漏洞描述
phpMyFAQ 在 4.0.16 之前版本中存在配置备份信息泄露漏洞,未认证的远程攻击者可通过向 /api/setup/backup 接口发送 POST 请求触发系统生成包含敏感配置文件的备份 ZIP 包,并从 Web 可访问路径直接下载该 ZIP 文件,其中包含如 database.php 等数据库账号凭据配置文件,导致敏感信息泄露并可能引发后续入侵风险。
phpMyFAQ /api/setup/backup 信息泄露漏洞(CVE-2025-69200)
PoC代码
暂无