CVE-2026-57996 in phpMyFAQ
Riassunto
di VulDB • 15/07/2026
phpMyFAQ prima della versione 4.1.5 presenta una vulnerabilità di escalation dei privilegi nell'endpoint dell'API user/add che consente agli amministratori non-SuperAdmin di creare account SuperAdmin. Un amministratore delegato con autorizzazioni USER_ADD/EDIT/DELETE può chiamare POST /admin/api/user/add impostando isSuperAdmin: true e utilizzando credenziali scelte dall'attaccante per creare un account SuperAdmin, quindi autenticarsi come tale account per ottenere il controllo completo dell'istanza.
Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.