الثغرات ›

CVE-2026-22207

حرج

ثغرة التحكم في الوصول المكسورة في OpenViking تسمح بالحصول على امتيازات ROOT

CWE-306 — نوع الضعف

                    نُشر: Feb 26, 2026                      ·  آخر تحديث: Mar 5, 2026                      ·  المصدر: NVD                

CVSS v3

9.8

🔗 NVD الرسمي

📄 الوصف (الإنجليزية)

OpenViking through version 0.1.18, prior to commit 0251c70, contains a broken access control vulnerability that allows unauthenticated attackers to gain ROOT privileges when the root_api_key configuration is omitted. Attackers can send requests to protected endpoints without authentication headers to access administrative functions including account management, resource operations, and system configuration.

🤖 ملخص AI

OpenViking versions up to 0.1.18 contain a critical broken access control vulnerability allowing unauthenticated attackers to gain ROOT privileges when root_api_key configuration is missing. Attackers can directly access protected administrative endpoints without authentication to manage accounts, resources, and system configurations.

📄 الوصف (العربية)

تحتوي OpenViking على ثغرة حرجة في التحكم بالوصول حيث يمكن للمهاجمين الوصول إلى وظائف إدارية حساسة بدون بيانات اعتماد عند عدم تكوين مفتاح API الجذر. هذا يسمح بالوصول الكامل لإدارة الحسابات والموارد والنظام. الثغرة تؤثر على جميع الإصدارات حتى 0.1.18 قبل الإصلاح المحدد.

🤖 ملخص تنفيذي (AI)

إصدارات OpenViking حتى 0.1.18 تحتوي على ثغرة حرجة في التحكم بالوصول تسمح للمهاجمين غير المصرحين بالحصول على امتيازات ROOT عند غياب تكوين root_api_key. يمكن للمهاجمين الوصول مباشرة إلى نقاط النهاية الإدارية المحمية دون مصادقة.

🤖 التحليل الذكي آخر تحليل: Apr 12, 2026 02:18

🇸🇦 التأثير على المملكة العربية السعودية

Saudi Relevance: high

🏢 القطاعات السعودية المتأثرة

banking telecom energy government healthcare

🎯 تقنيات MITRE ATT&CK

T1078.001 T1190 T1548.002

⚖️ درجة المخاطر السعودية (AI)

10.0

/ 10.0

🔧 Remediation Steps (English)

Immediately upgrade OpenViking to version after commit 0251c70 or latest patched release. Ensure root_api_key configuration is properly set and enforced in all deployments. Implement network segmentation to restrict access to administrative endpoints. Conduct immediate audit of access logs for unauthorized API calls. Deploy Web Application Firewall rules to block unauthenticated requests to protected endpoints.

🔧 خطوات المعالجة (العربية)

قم بترقية OpenViking فوراً إلى الإصدار الذي يتجاوز commit 0251c70 أو أحدث إصدار مصحح. تأكد من تعيين وفرض تكوين root_api_key في جميع النشرات. طبق تقسيم الشبكة لتقييد الوصول إلى نقاط النهاية الإدارية. أجرِ تدقيقاً فورياً لسجلات الوصول للكشف عن استدعاءات API غير مصرحة. نشر قواعد جدار تطبيقات الويب لحجب الطلبات غير المصرحة.

📋 خريطة الامتثال التنظيمي

🟢 NCA ECC 2024

5.1.1 5.1.2 5.2.1

🔵 SAMA CSF

AC-2 AC-3 AC-6

🟡 ISO 27001:2022

A.9.1.1 A.9.2.1 A.9.4.1

🔗 المراجع والمصادر 5

🔗

https://github.com/volcengine/OpenViking/issues/302

disclosure@vulncheck.com

🔗

https://github.com/volcengine/OpenViking/pull/310

disclosure@vulncheck.com

🔗

https://github.com/volcengine/OpenViking/pull/310/changes/0251c7045b3f8092c4d2e1565115b...

disclosure@vulncheck.com

🔗

https://www.vulncheck.com/advisories/openviking-missing-root-api-key-allows-anonymous-r...

disclosure@vulncheck.com

🔗

https://github.com/volcengine/OpenViking/issues/302

134c704f-9b21-4f2e-91b3-4a467353bcc0

📊 CVSS Score

9.8

/ 10.0 — حرج

📊 CVSS Vector

CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H

Attack VectorN — None / Network

Attack ComplexityL — Low / Local

Privileges RequiredN — None / Network

User InteractionN — None / Network

ScopeU — Unchanged

ConfidentialityH — High

IntegrityH — High

AvailabilityH — High

📋 حقائق سريعة

الخطورة حرج

CVSS Score9.8

CWECWE-306

اختراق متاح لا

تصحيح متاح ✓ نعم

تاريخ النشر 2026-02-26

المصدر nvd

المشاهدات 3

🇸🇦 درجة المخاطر السعودية

10.0

/ 10.0 — مخاطر السعودية

أولوية: CRITICAL

🏷️ الوسوم

CWE-306

⚡ إجراءات

🔗 NVD Official Page ⚡ Exploit-DB Search 🐙 GitHub PoC Search 🎯 MITRE ATT&CK 📊 CVE Details

CVE-2026-22207

عرّفنا بنفسك

تسجيل الدخول مطلوب