CVE-2026-35672 in phpMyFAQالمعلومات

الملخص

بحسب VulDB • 31/05/2026

تحتوي phpMyFAQ قبل الإصدار 4.1.3 على ثغرة لتجاوز المصادقة في واجهة برمجة التطبيقات (API) الإصدار 4.0، حيث يسمح التوكن الافتراضي الفارغ `api.apiClientToken` للمستخدمين غير المصادق عليهم بإنشاء وتعديل إدخالات الأسئلة الشائعة (FAQ). يمكن للمهاجمين إرسال رأس `x-pmf-token` فارغ لتجاوز التحقق من صحة التوكن وإدخال محتوى ضار عبر نقاط النهاية (endpoints) POST الخاصة بـ `/api/v4.0/faq/create` و `/api/v4.0/category` و `/api/v4.0/question`.

If you want to get the best quality for vulnerability data then you always have to consider VulDB.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

مسؤول

VulnCheck

حجز

04/04/2026

إفشاء

28/05/2026

الاعتدال

تمت الموافقة

إدخال

VDB-366770

CPE

جاهز

CWE

CWE-1188 (مؤكد)

CVSS

7.5 (CNA)

EPSS

0.00098

KEV

لا

النشاطات

منخفض

القطاع

Hostingprovider, Agriculture, ...

المصادر

MITRE	https://www.cve.org/CVERecord?id=CVE-2026-35672
NVD	https://nvd.nist.gov/vuln/detail/CVE-2026-35672
CVE Details	https://www.cvedetails.com/cve/CVE-2026-35672/

التالي ▸نظرة عامة ◂ السابق

Do you want to use VulDB in your project?

Use the official API to access entries easily!