CVE-2026-45010

Nome do Software Vulnerável e Versões Afetadas phpMyFAQ versões anteriores a 4.1.2

Descrição Existe uma restrição inadequada de tentativas excessivas de autenticação no endpoint "/admin/check". Este endpoint aceita parâmetros user-id arbitrários sem vinculação de sessão ou limitação de taxa. Atacantes não autenticados podem burlar a autenticação de dois fatores e obter acesso administrativo total enviando solicitações POST com valores de token sequenciais para realizar força bruta no código TOTP (Time-based One-Time Password, um código temporário gerado por um aplicativo) de seis dígitos de um usuário.

Recomendações Atualize para a versão 4.1.2 ou posterior. Restrinja o acesso ao endpoint "/admin/check" para minimizar o risco de exploração.