الثغرات ›

CVE-2021-47978

متوسط

CWE-98 — نوع الضعف

                    نُشر: May 16, 2026                      ·  آخر تحديث: May 19, 2026                      ·  المصدر: NVD                

CVSS v3

6.2

🔗 NVD الرسمي

📄 الوصف (الإنجليزية)

ProcessMaker 3.5.4 contains a local file inclusion vulnerability that allows unauthenticated attackers to read arbitrary files by exploiting improper path traversal validation. Attackers can send requests with directory traversal sequences to access sensitive system files like /etc/passwd without authentication.

🤖 ملخص AI

ProcessMaker 3.5.4 suffers from a local file inclusion vulnerability allowing unauthenticated attackers to read arbitrary files through path traversal exploitation. Sensitive system files such as /etc/passwd can be accessed without authentication, potentially exposing critical configuration data.

📄 الوصف (العربية)

تحتوي نسخة ProcessMaker 3.5.4 على ثغرة في التحقق من صحة المسارات تسمح بالوصول غير المصرح إلى ملفات النظام الحساسة. يمكن للمهاجمين استخدام تسلسلات اجتياز الدليل (مثل ../) للوصول إلى ملفات خارج الدليل المقصود. هذا يشكل خطراً كبيراً على سرية البيانات والامتثال التنظيمي.

🤖 ملخص تنفيذي (AI)

ProcessMaker 3.5.4 يحتوي على ثغرة شمول ملفات محلية تسمح للمهاجمين غير المصرحين بقراءة ملفات عشوائية من خلال استغلال التحقق الضعيف من المسارات. يمكن الوصول إلى ملفات النظام الحساسة مثل /etc/passwd بدون مصادقة.

🤖 التحليل الذكي آخر تحليل: May 22, 2026 22:40

🇸🇦 التأثير على المملكة العربية السعودية

Saudi Relevance: high

🏢 القطاعات السعودية المتأثرة

government banking healthcare telecom

🎯 تقنيات MITRE ATT&CK

T1083 T1190 T1566

⚖️ درجة المخاطر السعودية (AI)

7.0

/ 10.0

🔧 Remediation Steps (English)

Upgrade ProcessMaker to version 3.5.5 or later immediately. Implement strict input validation and path canonicalization to prevent directory traversal attacks. Deploy Web Application Firewall (WAF) rules to block path traversal patterns. Restrict file system access permissions and disable directory listing. Monitor access logs for suspicious traversal attempts.

🔧 خطوات المعالجة (العربية)

قم بترقية ProcessMaker إلى الإصدار 3.5.5 أو أحدث فوراً. طبق التحقق الصارم من المدخلات وتطبيع المسارات لمنع هجمات اجتياز الدليل. نشر قواعد جدار حماية تطبيقات الويب لحجب أنماط اجتياز المسارات. قيد صلاحيات الوصول إلى نظام الملفات وعطل قائمة الدليل. راقب سجلات الوصول للكشف عن محاولات اجتياز مريبة.

📋 خريطة الامتثال التنظيمي

🟢 NCA ECC 2024

A.14.2.1 A.14.2.5

🔵 SAMA CSF

CC6.1 CC6.2 CC7.2

🟡 ISO 27001:2022

A.14.2.1 A.14.2.5 A.13.1.3

🔗 المراجع والمصادر 3

🔗

https://www.exploit-db.com/exploits/50229

disclosure@vulncheck.com

🔗

https://www.processmaker.com/

disclosure@vulncheck.com

🔗

https://www.vulncheck.com/advisories/processmaker-local-file-inclusion-via-path-traversal

disclosure@vulncheck.com

📊 CVSS Score

6.2

/ 10.0 — متوسط

📊 CVSS Vector

CVSS:3.1/AV:L/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N

Attack VectorL — Low / Local

Attack ComplexityL — Low / Local

Privileges RequiredN — None / Network

User InteractionN — None / Network

ScopeU — Unchanged

ConfidentialityH — High

IntegrityN — None / Network

AvailabilityN — None / Network

📋 حقائق سريعة

الخطورة متوسط

CVSS Score6.2

CWECWE-98

EPSS0.04%

اختراق متاح لا

تصحيح متاح ✗ لا

تاريخ النشر 2026-05-16

المصدر nvd

🇸🇦 درجة المخاطر السعودية

7.0

/ 10.0 — مخاطر السعودية

أولوية: HIGH

🏷️ الوسوم

CWE-98

⚡ إجراءات

🔗 NVD Official Page ⚡ Exploit-DB Search 🐙 GitHub PoC Search 🎯 MITRE ATT&CK 📊 CVE Details

CVE-2021-47978

عرّفنا بنفسك

تسجيل الدخول مطلوب