php · thorsten/phpmyfaqCrítico

phpMyFAQ 4.1.3: Autorização ausente em editUser() e updateUserRights()

Dois endpoints irmãos no phpMyFAQ 4.

27 Jun 2026Leitura 1 minSeveridade: mexe agora

O que mudou

Dois endpoints irmãos no phpMyFAQ 4.1.3 não possuem verificações de autorização, permitindo escalonamento de privilégios: editUser() e updateUserRights() não impõem a invariante SuperAdmin que foi adicionada a overwritePassword().

Quem isso afeta

Todas as instalações do phpMyFAQ <= 4.1.3 onde existem múltiplos usuários admin com permissão edit_user delegável.

O que fazer hoje

Aplique a correção recomendada: adicione verificações de SuperAdmin a editUser() e updateUserRights() para impedir que usuários não SuperAdmin definam is_superadmin ou concedam direitos arbitrários.

A esteira

Coletado→ Auditado→ Redigido→ Publicado

Fonte

GitHub Advisory · thorsten/phpmyfaq

phpMyFAQ 4.1.3: Autorização ausente em editUser() e updateUserRights()

O que mudou

Quem isso afeta

O que fazer hoje

Mais sobre thorsten/phpmyfaq

Filament: pacotes first-party recebem beta de melhorias de performance

cakephp/cakephp: Path traversal em View::_getElementFileName()