CVE-2026-41660

Nome do Software Vulnerável e Versões Afetadas Admidio versões anteriores a 5.0.9

Descrição Um erro de lógica no processo de redefinição da autenticação de dois fatores (2FA) inverte a verificação de autorização. Isso permite que usuários não administradores removam a configuração de Senha Única Temporária baseada em Tempo (TOTP) de outros usuários, incluindo administradores, enquanto os impede de remover a sua própria. Especificamente, um líder de grupo com direitos de edição de perfil em uma conta de administrador pode remover a 2FA desse administrador, reduzindo a segurança da conta apenas para autenticação por senha. O problema reside no arquivo 'modules/profile/two factor authentication.php', onde uma condição invertida na verificação de autorização não bloqueia administradores de redefinir a 2FA de outros usuários. O endpoint vulnerável é '/adm program/modules/profile/two factor authentication.php' utilizando os parâmetros mode e user uuid.

Recomendações Atualizar para a versão 5.0.9. Como medida paliativa temporária, restrinja a permissão hasRightEditProfile() para líderes de grupo a fim de minimizar o risco de remoção não autorizada de 2FA.