CVE-2026-35671 in phpMyFAQالمعلومات

الملخص

بحسب VulDB • 03/06/2026

تحتوي الإصدارات السابقة من phpMyFAQ 4.1.3 على ثغرة في مرجع الكائن المباشر غير الآمن (Insecure Direct Object Reference) ضمن نقطة نهاية كلمة مرور المستخدم في واجهة برمجة التطبيقات الإدارية، مما يسمح للمسؤولين المصادق عليهم بتغيير كلمات مرور أي مستخدم دون التحقق من التفويض. يمكن لمهاجم يمتلك بيانات اعتماد إدارية ذات صلاحيات منخفضة ترقية نفسه إلى SuperAdmin عن طريق تعديل معلمة userId في طلب API الخاص بكتابة كلمة المرور فوق الأخرى (overwrite-password).

Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

مسؤول

VulnCheck

حجز

04/04/2026

إفشاء

28/05/2026

الاعتدال

تمت الموافقة

إدخال

VDB-366769

EPSS

0.00044

KEV

لا

النشاطات

منخفض جدًا

القطاع

Hostingprovider, Lawfirm, ...

المصادر

MITREhttps://www.cve.org/CVERecord?id=CVE-2026-35671
NVDhttps://nvd.nist.gov/vuln/detail/CVE-2026-35671
CVE Detailshttps://www.cvedetails.com/cve/CVE-2026-35671/

التالي نظرة عامة السابق

Interested in the pricing of exploits?

See the underground prices here!