Katalog CVE

CVE-2026-35676

Wysokie
Opublikowano: Przetłumaczono: NVD NIST

Streszczenie

phpMyFAQ przed wersją 4.1.3 zawiera podatność na nieautoryzowane resetowanie haseł w API aktualizacji haseł użytkowników, co pozwala atakującym na zmianę haseł kont bez walidacji tokenów.

Ocena ryzyka

Atakujący mogą zidentyfikować prawidłowe pary nazw użytkowników i adresów e-mail oraz wymusić natychmiastowe zmiany haseł, co prowadzi do zakłócenia działania kont i unieważnienia prawidłowych danych uwierzytelniających użytkowników.

Rekomendacja

Zaleca się aktualizację phpMyFAQ do wersji 4.1.3 lub nowszej, aby usunąć tę podatność oraz wdrożenie dodatkowych środków zabezpieczających, takich jak weryfikacja tokenów przy aktualizacji haseł.

Oryginalny opis (angielski, źródło NVD)

phpMyFAQ before 4.1.3 contains an unauthenticated password reset vulnerability in the user password update API endpoint that allows attackers to change account passwords without token validation. Attackers can enumerate valid username and email pairs and force immediate password changes by sending PUT requests to the /api/index.php/user/password/update endpoint, causing account disruption and invalidating legitimate user credentials.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS