📄 Description (English)
A vulnerability was detected in Bottelet DaybydayCRM up to 2.2.1. Affected is an unknown function of the component Setting Handler. Performing a manipulation results in missing authentication. Remote exploitation of the attack is possible. It is recommended to apply a patch to fix this issue.
🤖 AI Executive Summary
CVE-2026-10283 is a missing authentication vulnerability in Bottelet DaybydayCRM versions up to 2.2.1 that allows remote attackers to manipulate settings without proper authentication. With a CVSS score of 6.3 (medium) and no available patch, this poses an immediate risk to organizations using this CRM system. The vulnerability affects the Setting Handler component and requires urgent mitigation through compensating controls.
📄 Description (Arabic)
🤖 AI Intelligence Analysis Analyzed: Jun 1, 2026 22:40
🇸🇦 Saudi Arabia Impact Assessment
This vulnerability primarily impacts Saudi organizations using Bottelet DaybydayCRM for customer relationship management, particularly in Banking (CRM for customer data), Government agencies (administrative systems), Telecommunications (STC and other providers), and Healthcare sectors. The missing authentication in the Setting Handler could allow unauthorized modification of critical CRM configurations, leading to data exposure, system compromise, and potential regulatory violations under SAMA and NCA frameworks. Organizations managing sensitive customer data face elevated risk of unauthorized access and configuration tampering.
🏢 Affected Saudi Sectors
Banking and Financial Services
Government and Public Administration
Telecommunications
Healthcare
Retail and E-commerce
Energy and Utilities
🎯 MITRE ATT&CK Techniques
⚖️ Saudi Risk Score (AI)
7.2
/ 10.0
🔧 Remediation Steps (English)
Immediate Actions:
1. Identify all instances of Bottelet DaybydayCRM running versions up to 2.2.1 across your infrastructure
2. Restrict network access to the CRM application using firewall rules and WAF policies
3. Implement IP whitelisting for administrative access to the Setting Handler component
4. Enable comprehensive logging and monitoring of all setting modification attempts
5. Review recent access logs for unauthorized setting changes
Compensating Controls (until patch available):
6. Deploy a reverse proxy or API gateway with authentication enforcement in front of the CRM
7. Implement network segmentation to isolate CRM systems from untrusted networks
8. Apply rate limiting and request validation at the network perimeter
9. Monitor for suspicious patterns: repeated failed authentication attempts, unusual setting modifications
10. Establish change management procedures requiring approval for all configuration changes
Detection Rules:
- Alert on any HTTP requests to Setting Handler endpoints without valid authentication tokens
- Monitor for POST/PUT requests to /settings or similar endpoints from external IPs
- Track configuration file modifications outside of approved change windows
- Flag access attempts to sensitive CRM settings from non-administrative accounts
🔧 خطوات المعالجة (العربية)
الإجراءات الفورية:
1. تحديد جميع حالات Bottelet DaybydayCRM التي تعمل بالإصدارات حتى 2.2.1 عبر البنية التحتية الخاصة بك
2. تقييد الوصول إلى شبكة تطبيق CRM باستخدام قواعد جدار الحماية وسياسات WAF
3. تطبيق قائمة بيضاء للعناوين IP للوصول الإداري إلى مكون معالج الإعدادات
4. تفعيل السجلات الشاملة ومراقبة جميع محاولات تعديل الإعدادات
5. مراجعة سجلات الوصول الأخيرة للتعديلات غير المصرح بها على الإعدادات
الضوابط البديلة (حتى توفر التصحيح):
6. نشر خادم وكيل عكسي أو بوابة API مع فرض المصادقة أمام CRM
7. تطبيق تقسيم الشبكة لعزل أنظمة CRM عن الشبكات غير الموثوقة
8. تطبيق تحديد معدل الطلب والتحقق من صحة الطلب على محيط الشبكة
9. مراقبة الأنماط المريبة: محاولات مصادقة فاشلة متكررة، تعديلات إعدادات غير عادية
10. إنشاء إجراءات إدارة التغيير التي تتطلب موافقة على جميع تغييرات التكوين
قواعد الكشف:
- تنبيه على أي طلبات HTTP إلى نقاط نهاية معالج الإعدادات بدون رموز مصادقة صحيحة
- مراقبة طلبات POST/PUT إلى /settings أو نقاط نهاية مماثلة من عناوين IP خارجية
- تتبع تعديلات ملفات التكوين خارج نوافذ التغيير المعتمدة
- وضع علامة على محاولات الوصول إلى إعدادات CRM الحساسة من حسابات غير إدارية
📋 Regulatory Compliance Mapping
🟢 NCA ECC 2024
ECC 2024 A.9.2.1 - User registration and access rights management
ECC 2024 A.9.4.3 - Password management systems
ECC 2024 A.12.4.1 - Event logging
ECC 2024 A.14.2.1 - Secure development policy
🔵 SAMA CSF
SAMA CSF ID.AM-1 - Asset Management
SAMA CSF PR.AC-1 - Access Control
SAMA CSF DE.CM-1 - Detection and Analysis
SAMA CSF RS.CO-2 - Incident Response Coordination
🟡 ISO 27001:2022
ISO 27001:2022 A.5.15 - Access control
ISO 27001:2022 A.8.2 - User access management
ISO 27001:2022 A.8.3 - User responsibilities
ISO 27001:2022 A.12.4.1 - Event logging
🟣 PCI DSS v4.0.1
PCI DSS 2.1 - Default security parameters
PCI DSS 6.5.10 - Broken authentication
PCI DSS 7.1 - Limit access to system components
🔗 References & Sources 8
🔗
🔗
🔗
🔗
🔗
🔗
🔗
🔗
https://github.com/Bottelet/DaybydayCRM/
cna@vuldb.com
https://github.com/Bottelet/DaybydayCRM/issues/348
cna@vuldb.com
https://github.com/Bottelet/DaybydayCRM/pull/363
cna@vuldb.com
https://vuldb.com/cve/CVE-2026-10283
cna@vuldb.com
https://vuldb.com/submit/825442
cna@vuldb.com
https://vuldb.com/submit/825443
cna@vuldb.com
https://vuldb.com/vuln/367576
cna@vuldb.com
https://vuldb.com/vuln/367576/cti
cna@vuldb.com