phpMyFAQ: Falta de verificação de permissão em endpoints da API pública

Quatro endpoints públicos de escrita da API (CategoryController.create, FaqController.create, FaqController.update, QuestionController.create) não possuem verificações de autorização. Eles apenas chamam hasValidToken() (chave de API compartilhada), mas não chamam userHasPermission() para verificar a função do usuário, permitindo que qualquer detentor de token de API execute operações de administrador.

Todas as instalações do phpMyFAQ que usam a API pública (v4.0) com autenticação por token de API.

Aplique as chamadas userHasPermission() ausentes nos quatro endpoints, conforme descrito no aviso.