الثغرات ›

CVE-2026-39355

حرج ⚡ اختراق متاح

CWE-862 — نوع الضعف

                    نُشر: Apr 7, 2026                      ·  آخر تحديث: Apr 14, 2026                      ·  المصدر: NVD                

CVSS v3

9.9

🔗 NVD الرسمي

📄 الوصف (الإنجليزية)

Genealogy is a family tree PHP application. Prior to 5.9.1, a critical broken access control vulnerability in the genealogy application allows any authenticated user to transfer ownership of arbitrary non-personal teams to themselves. This enables complete takeover of other users’ team workspaces and unrestricted access to all genealogy data associated with the compromised team. This vulnerability is fixed in 5.9.1.

🤖 ملخص AI

A critical broken access control vulnerability in Genealogy PHP application allows authenticated users to transfer ownership of arbitrary teams to themselves, enabling complete workspace takeover. This affects versions prior to 5.9.1 and requires immediate patching to prevent unauthorized access to sensitive genealogy data.

📄 الوصف (العربية)

يسمح هذا الضعف للمستخدمين المصرحين بنقل ملكية فرق غير شخصية إلى أنفسهم دون تفويض مناسب. يؤدي هذا إلى السيطرة الكاملة على مساحات عمل الفريق والوصول غير المقيد إلى جميع بيانات الأنساب المرتبطة بالفريق المخترق. الثغرة موجودة في جميع الإصدارات السابقة للإصدار 5.9.1.

🤖 ملخص تنفيذي (AI)

تم اكتشاف ثغرة حرجة في التحكم بالوصول في تطبيق Genealogy PHP تسمح للمستخدمين المصرحين بنقل ملكية الفرق التعسفية لأنفسهم. هذا يمكن المهاجمين من السيطرة الكاملة على مساحات عمل الفرق الأخرى والوصول غير المقيد إلى بيانات الأنساب الحساسة.

🤖 التحليل الذكي آخر تحليل: Apr 12, 2026 15:34

🇸🇦 التأثير على المملكة العربية السعودية

Saudi Relevance: high

🏢 القطاعات السعودية المتأثرة

government healthcare

🎯 تقنيات MITRE ATT&CK

T1078.001 T1098.002 T1548.002

⚖️ درجة المخاطر السعودية (AI)

10.0

/ 10.0

🔧 Remediation Steps (English)

Immediately upgrade Genealogy application to version 5.9.1 or later. Implement strict access control validation for team ownership transfers, enforce role-based access controls (RBAC), conduct security audit of all team ownership changes, and monitor for suspicious ownership transfer activities in logs.

🔧 خطوات المعالجة (العربية)

قم بترقية تطبيق Genealogy فوراً إلى الإصدار 5.9.1 أو أحدث. طبق التحقق الصارم من التحكم بالوصول لعمليات نقل ملكية الفريق، وفرض التحكم بالوصول القائم على الأدوار، وأجرِ تدقيقاً أمنياً لجميع تغييرات ملكية الفريق، ومراقبة الأنشطة المريبة في السجلات.

📋 خريطة الامتثال التنظيمي

🟢 NCA ECC 2024

5.1 5.2 5.3

🔵 SAMA CSF

AC-2 AC-3 AC-5

🟡 ISO 27001:2022

A.9.1.1 A.9.2.1 A.9.4.1

🔗 المراجع والمصادر 2

🔗

https://github.com/MGeurts/genealogy/security/advisories/GHSA-2rq7-jqm7-w8x4

security-advisories@github.com

Exploit Vendor Advisory

🔗

https://github.com/MGeurts/genealogy/security/advisories/GHSA-2rq7-jqm7-w8x4

134c704f-9b21-4f2e-91b3-4a467353bcc0

Exploit Vendor Advisory

📦 المنتجات المتأثرة 1 منتج

kreaweb:genealogy

📊 CVSS Score

9.9

/ 10.0 — حرج

📊 CVSS Vector

CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H

Attack VectorN — None / Network

Attack ComplexityL — Low / Local

Privileges RequiredL — Low / Local

User InteractionN — None / Network

ScopeC — Changed

ConfidentialityH — High

IntegrityH — High

AvailabilityH — High

📋 حقائق سريعة

الخطورة حرج

CVSS Score9.9

CWECWE-862

EPSS0.04%

اختراق متاح ✓ نعم

تصحيح متاح ✗ لا

تاريخ النشر 2026-04-07

المصدر nvd

المشاهدات 2

🇸🇦 درجة المخاطر السعودية

10.0

/ 10.0 — مخاطر السعودية

أولوية: CRITICAL

🏷️ الوسوم

exploit-available CWE-862

🏢 توجيهات البائع

🔗 https://github.com/MGeurts/genealogy/security/adviso... 🔗 https://github.com/MGeurts/genealogy/security/adviso...

⚡ إجراءات

🔗 NVD Official Page ⚡ Exploit-DB Search 🐙 GitHub PoC Search 🎯 MITRE ATT&CK 📊 CVE Details

CVE-2026-39355

عرّفنا بنفسك

تسجيل الدخول مطلوب