Katalog CVE

CVE-2026-35675

Wysokie
Opublikowano: Przetłumaczono: NVD NIST

Streszczenie

phpMyFAQ w wersjach przed 4.1.3 zawiera lukę w zabezpieczeniach, która umożliwia ominięcie uwierzytelnienia w punkcie resetowania hasła. Umożliwia to nieautoryzowanym atakującym zresetowanie hasła dowolnego konta użytkownika bez weryfikacji tokenu lub potwierdzenia e-mail.

Ocena ryzyka

Atakujący mogą enumerować poprawne nazwy użytkowników, uzyskiwać hasła w postaci niezaszyfrowanej za pośrednictwem e-maila oraz przejąć pełną kontrolę nad kontem, w tym dostęp administracyjny. To stwarza poważne zagrożenie dla bezpieczeństwa organizacji.

Rekomendacja

Zaleca się aktualizację phpMyFAQ do wersji 4.1.3 lub nowszej, aby usunąć tę lukę. Dodatkowo, warto wdrożyć dodatkowe środki zabezpieczające, takie jak weryfikacja dwuetapowa dla kont użytkowników.

Oryginalny opis (angielski, źródło NVD)

phpMyFAQ before 4.1.3 contains an authentication bypass vulnerability in the password reset endpoint that allows unauthenticated attackers to reset any user account password without token verification or email confirmation. Attackers can enumerate valid usernames, obtain plaintext passwords via email, and achieve complete account takeover including administrative access.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS