Katalog CVE

CVE-2026-56396

WysokieCVSS 8.8
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.25%

Percentyl 16 - wyżej niż 16% wszystkich znanych CVE

Streszczenie

phpMyFAQ w wersjach przed 4.1.4 zawiera luki w autoryzacji w punktach końcowych editUser() i updateUserRights(), które pozwalają uwierzytelnionym administratorom na eskalację uprawnień. Użytkownicy, którzy nie są SuperAdminami, ale mają uprawnienia edit_user, mogą ustawić flagę is_superadmin lub przyznać dowolne uprawnienia, co prowadzi do uzyskania dostępu SuperAdmina.

Ocena ryzyka

Eskalacja uprawnień przez nieuprawnionych użytkowników może prowadzić do poważnych naruszeń bezpieczeństwa, w tym do nieautoryzowanego dostępu do wrażliwych danych i funkcji administracyjnych. Organizacje powinny być świadome ryzyka związanego z niewłaściwym zarządzaniem uprawnieniami.

Rekomendacja

Zaleca się aktualizację phpMyFAQ do wersji 4.1.4 lub nowszej, aby usunąć te luki w autoryzacji. Dodatkowo, należy przeprowadzić audyt uprawnień użytkowników, aby upewnić się, że tylko uprawnieni administratorzy mają dostęp do krytycznych funkcji.

Oryginalny opis (angielski, źródło NVD)

phpMyFAQ before 4.1.4 contains missing authorization vulnerabilities in editUser() and updateUserRights() endpoints that allow authenticated administrators to escalate privileges. Non-SuperAdmin users with edit_user permission can set is_superadmin flag or grant arbitrary rights to escalate to SuperAdmin access.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS