XinLiangCoder php_api_doc through commit 1ce5bbf contains a reflected cross-site scripting vulnerability in list_method.php that allows remote attackers to execute arbitrary JavaScript in a victim's browser by injecting malicious code through the f parameter. Attackers can craft a malicious URL with unsanitized input in the GET request parameter that is output directly to the page without proper neutralization, enabling session hijacking, credential theft, or malware distribution within the application context.
CVE-2026-32844 is a reflected XSS vulnerability in XinLiangCoder php_api_doc's list_method.php that allows attackers to inject malicious JavaScript through the unsanitized 'f' parameter. Successful exploitation enables session hijacking, credential theft, and malware distribution within the application context.
ثغرة XSS معكوسة في ملف list_method.php بتطبيق php_api_doc تسمح بحقن كود JavaScript ضار عبر معامل GET غير معالج. يمكن للمهاجمين استخدام روابط ضارة لسرقة بيانات المستخدمين وجلسات العمل أو نشر برامج ضارة. الثغرة تؤثر على أي منظمة تستخدم هذا التطبيق بدون تحديثات أمان.
هذا الثغرة عبارة عن ثغرة XSS معكوسة في php_api_doc تسمح للمهاجمين بحقن كود JavaScript ضار عبر معامل 'f' غير المعالج. يمكن للمهاجمين سرقة جلسات العمل والبيانات الحساسة من خلال روابط ضارة مصممة خصيصاً.
Update XinLiangCoder php_api_doc to the latest patched version beyond commit 1ce5bbf. Implement input validation and output encoding for all user-supplied parameters, particularly the 'f' parameter. Apply Content Security Policy (CSP) headers to prevent inline script execution. Conduct security code review of list_method.php and similar endpoints handling user input.
قم بتحديث php_api_doc إلى أحدث إصدار مصحح. طبق التحقق من صحة المدخلات وترميز المخرجات لجميع المعاملات. استخدم رؤوس Content Security Policy (CSP) لمنع تنفيذ البرامج النصية المضمنة. أجرِ مراجعة أمان شاملة للكود.