CVE-2026-35676 - phpMyFAQ - Unauthenticated Password Reset via User Password Update Endpoint

CVE-2026-35676 to podatność bezpieczeństwa zidentyfikowana w wersjach phpMyFAQ starszych niż 4.1.3. Błąd występuje w punkcie końcowym API aktualizacji hasła użytkownika, konkretnie pod adresem /api/index.php/user/password/update. Umożliwia on nieuwierzytelnionym napastnikom zresetowanie haseł do kont bez wymaganej walidacji tokena. Poprzez wyliczenie prawidłowych kombinacji nazw użytkowników i adresów e-mail, złośliwi aktorzy mogą wymusić natychmiastowe zmiany haseł. Działanie to skutkuje znacznym zakłóceniem dostępu do kont i unieważnieniem legalnych poświadczeń użytkowników. Podatność ta jest klasyfikowana jako problem o wysokim stopniu dotkliwości, otrzymując wynik CVSS 4.0 wynoszący 8.8 oraz wynik CVSS 3.1 wynoszący 8.2. Jest ona skategoryzowana pod CWE-640, co dotyczy słabych mechanizmów odzyskiwania haseł. Aby złagodzić to ryzyko, zdecydowanie zaleca się użytkownikom aktualizację instalacji phpMyFAQ do wersji 4.1.3 lub nowszej. Dodatkowe środki bezpieczeństwa obejmują zastosowanie łatek dostarczonych przez dostawcę, ograniczenie dostępu do podatnego punktu końcowego API oraz monitorowanie podejrzanej aktywności związanej z resetowaniem haseł.