CVE-2026-35676
WysokieStreszczenie
phpMyFAQ przed wersją 4.1.3 zawiera podatność na nieautoryzowane resetowanie haseł w API aktualizacji haseł użytkowników, co pozwala atakującym na zmianę haseł kont bez walidacji tokenów.
Ocena ryzyka
Atakujący mogą zidentyfikować prawidłowe pary nazw użytkowników i adresów e-mail oraz wymusić natychmiastowe zmiany haseł, co prowadzi do zakłócenia działania kont i unieważnienia prawidłowych danych uwierzytelniających użytkowników.
Rekomendacja
Zaleca się aktualizację phpMyFAQ do wersji 4.1.3 lub nowszej, aby usunąć tę podatność oraz wdrożenie dodatkowych środków zabezpieczających, takich jak weryfikacja tokenów przy aktualizacji haseł.
Oryginalny opis (angielski, źródło NVD)
phpMyFAQ before 4.1.3 contains an unauthenticated password reset vulnerability in the user password update API endpoint that allows attackers to change account passwords without token validation. Attackers can enumerate valid username and email pairs and force immediate password changes by sending PUT requests to the /api/index.php/user/password/update endpoint, causing account disruption and invalidating legitimate user credentials.

