CVE-2026-35672 in phpMyFAQinformation

Résumé

par VulDB • 04/06/2026

phpMyFAQ avant la version 4.1.3 présente une vulnérabilité de contournement d'authentification dans l'API v4.0, où la valeur par défaut vide de api.apiClientToken permet aux utilisateurs non authentifiés de créer et de modifier des entrées FAQ. Les attaquants peuvent envoyer un en-tête x-pmf-token vide pour contourner la validation du jeton et injecter du contenu malveillant via les points de terminaison POST /api/v4.0/faq/create, /api/v4.0/category et /api/v4.0/question.

If you want to get the best quality for vulnerability data then you always have to consider VulDB.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

Responsable

VulnCheck

Réserver

04/04/2026

Divulgation

28/05/2026

Modérer

accepté

Entrée

VDB-366770

CPE

prêt

EPSS

0.00082

KEV

non

Activités

faible

Secteur

Agriculture, Lawfirm, ...

Sources

MITREhttps://www.cve.org/CVERecord?id=CVE-2026-35672
NVDhttps://nvd.nist.gov/vuln/detail/CVE-2026-35672
CVE Detailshttps://www.cvedetails.com/cve/CVE-2026-35672/

PrécédentAperçuSuivant

Do you know our Splunk app?

Download it now for free!