CVE Catalog
EnglishPolski(English translation not available - showing Polish)

CVE-2026-35671

High
Published: Translated: NVD NIST

Summary

phpMyFAQ przed wersją 4.1.3 zawiera podatność na niebezpieczne bezpośrednie odniesienie do obiektu w punkcie końcowym API do zmiany hasła użytkownika. Umożliwia to uwierzytelnionym administratorom zmianę hasła dowolnego użytkownika bez weryfikacji uprawnień.

Risk Assessment

Atakujący z niskimi uprawnieniami administratora może uzyskać dostęp do konta SuperAdmina, modyfikując parametr userId w żądaniu API do nadpisania hasła, co stwarza poważne zagrożenie dla bezpieczeństwa systemu.

Recommendation

Zaleca się aktualizację phpMyFAQ do wersji 4.1.3 lub nowszej oraz wdrożenie dodatkowych mechanizmów weryfikacji uprawnień w API, aby zapobiec nieautoryzowanym zmianom haseł.

Original NVD description (English source)

phpMyFAQ before 4.1.3 contains an insecure direct object reference vulnerability in the admin API user password endpoint that allows authenticated administrators to change any user's password without authorization verification. An attacker with low-privilege admin credentials can escalate to SuperAdmin by modifying the userId parameter in the overwrite-password API request.

Vulnerability data from NVD (NIST) · CISA KEV · EPSS