Критична вразливість у phpMyFAQ дозволяє обходити двофакторну автентифікацію
Вразливість CVE-2026-45010 у phpMyFAQ дозволяє обходити двофакторну автентифікацію та отримувати адміністративний доступ. Рекомендується оновлення до версії 4.1.2.
- CVSS
- 9.3 CRITICAL
- EPSS
- 25.9%
- Активно використовується
- немає в KEV
- Продукт
- -
Що відомо
У phpMyFAQ версій до 4.1.2 виявлено вразливість, що дозволяє неавторизованим зловмисникам перебирати шестизначні TOTP-коди користувачів через відсутність обмежень на кількість спроб у /admin/check. Це дає змогу обійти двофакторну автентифікацію та отримати повний адміністративний доступ.
Бізнес-вплив
Вразливість створює серйозну загрозу для безпеки веб-інфраструктури, оскільки зловмисники можуть отримати повний контроль над адміністративними обліковими записами без необхідності авторизації. Це може призвести до компрометації даних, порушення роботи сервісу та втрати довіри користувачів.
Рекомендовані дії адміністратора
Рекомендується негайно оновити phpMyFAQ до версії 4.1.2 або новішої, де ця вразливість виправлена. Якщо оновлення наразі неможливе, слід обмежити доступ до адміністративного інтерфейсу, впровадити додаткові механізми обмеження кількості спроб автентифікації, переглянути журнали безпеки на предмет підозрілої активності та пріоритезувати виправлення цієї проблеми.