Katalog CVE

CVE-2026-35671

Wysokie
Opublikowano: Przetłumaczono: NVD NIST

Streszczenie

phpMyFAQ przed wersją 4.1.3 zawiera podatność na niebezpieczne bezpośrednie odniesienie do obiektu w punkcie końcowym API do zmiany hasła użytkownika. Umożliwia to uwierzytelnionym administratorom zmianę hasła dowolnego użytkownika bez weryfikacji uprawnień.

Ocena ryzyka

Atakujący z niskimi uprawnieniami administratora może uzyskać dostęp do konta SuperAdmina, modyfikując parametr userId w żądaniu API do nadpisania hasła, co stwarza poważne zagrożenie dla bezpieczeństwa systemu.

Rekomendacja

Zaleca się aktualizację phpMyFAQ do wersji 4.1.3 lub nowszej oraz wdrożenie dodatkowych mechanizmów weryfikacji uprawnień w API, aby zapobiec nieautoryzowanym zmianom haseł.

Oryginalny opis (angielski, źródło NVD)

phpMyFAQ before 4.1.3 contains an insecure direct object reference vulnerability in the admin API user password endpoint that allows authenticated administrators to change any user's password without authorization verification. An attacker with low-privilege admin credentials can escalate to SuperAdmin by modifying the userId parameter in the overwrite-password API request.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS