CVE-2026-46365

Nome do Software Vulnerável e Versões Afetadas phpMyFAQ versões anteriores a 4.1.2

Descrição Um problema de falta de autorização existe no endpoint "DELETE /admin/api/content/tags/{tagId}". Isso permite que qualquer usuário autenticado, incluindo usuários comuns do frontend, exclua tags arbitrárias ao enviar uma requisição DELETE com um cookie de sessão válido, o que pode resultar em perda permanente de dados e interrupção da organização do FAQ. A variável vulnerável é {tagId}.

Recomendações Atualize para a versão 4.1.2 ou posterior.