📄 Description (English)
A flaw has been found in DevaslanPHP project-management up to 2.0.0-beta1. Affected by this vulnerability is the function editComment/doDeleteComment of the file app/Filament/Resources/TicketResource/Pages/ViewTicket.php of the component Livewire Handler. Executing a manipulation can lead to improper authorization. The attack can be executed remotely. The project was informed of the problem early through an issue report but has not responded yet.
🤖 AI Executive Summary
CVE-2026-10284 is a medium-severity improper authorization vulnerability in DevaslanPHP project-management affecting versions up to 2.0.0-beta1. The flaw exists in the Livewire handler for comment editing and deletion functions, allowing remote attackers to manipulate authorization controls. No patch is currently available, and the project maintainers have not responded to early disclosure notifications.
📄 Description (Arabic)
🤖 AI Intelligence Analysis Analyzed: Jun 2, 2026 00:34
🇸🇦 Saudi Arabia Impact Assessment
This vulnerability poses moderate risk to Saudi organizations using DevaslanPHP for project management, particularly in government agencies, educational institutions, and medium-sized enterprises managing internal projects. The improper authorization flaw could allow unauthorized users to delete or modify project comments, potentially compromising project documentation integrity and audit trails. Risk is elevated for organizations in the public sector (NCA oversight) and financial services that rely on project management systems for compliance documentation.
🏢 Affected Saudi Sectors
Government
Education
Healthcare
Financial Services
Telecommunications
Energy
🎯 MITRE ATT&CK Techniques
⚖️ Saudi Risk Score (AI)
5.8
/ 10.0
🔧 Remediation Steps (English)
Immediate Actions:
1. Audit all DevaslanPHP installations to identify versions up to 2.0.0-beta1
2. Review access logs for the ViewTicket.php endpoint to detect suspicious comment manipulation activities
3. Implement network-level access controls restricting access to project management interfaces to authorized personnel only
4. Disable or restrict the editComment and doDeleteComment functions if not critical to operations
Compensating Controls:
1. Implement role-based access control (RBAC) at the application level to enforce comment ownership verification
2. Enable comprehensive audit logging for all comment modifications and deletions
3. Implement API rate limiting on comment-related endpoints
4. Deploy Web Application Firewall (WAF) rules to monitor suspicious patterns in comment manipulation requests
5. Conduct manual code review of the Livewire handler to identify authorization bypass vectors
Patching Guidance:
1. Monitor the DevaslanPHP project repository for security updates
2. Prepare upgrade procedures to apply patches immediately upon release
3. Test patches in non-production environments before deployment
Detection Rules:
1. Monitor for repeated DELETE/PUT requests to comment endpoints from non-comment-owner accounts
2. Alert on comment modifications where user_id in request differs from authenticated user
3. Track failed authorization attempts on ViewTicket.php endpoints
🔧 خطوات المعالجة (العربية)
الإجراءات الفورية:
1. تدقيق جميع تثبيتات DevaslanPHP لتحديد الإصدارات حتى 2.0.0-beta1
2. مراجعة سجلات الوصول لنقطة نهاية ViewTicket.php للكشف عن أنشطة معالجة التعليقات المريبة
3. تنفيذ عناصر التحكم في الوصول على مستوى الشبكة لتقييد الوصول إلى واجهات إدارة المشاريع للموظفين المصرح لهم فقط
4. تعطيل أو تقييد وظائف editComment و doDeleteComment إذا لم تكن حرجة للعمليات
عناصر التحكم التعويضية:
1. تنفيذ التحكم في الوصول القائم على الأدوار (RBAC) على مستوى التطبيق لفرض التحقق من ملكية التعليق
2. تفعيل تسجيل التدقيق الشامل لجميع تعديلات وحذف التعليقات
3. تنفيذ تحديد معدل API على نقاط نهاية التعليقات
4. نشر قواعد جدار الحماية لتطبيقات الويب (WAF) لمراقبة الأنماط المريبة في طلبات معالجة التعليقات
5. إجراء مراجعة يدوية للكود لمعالج Livewire لتحديد متجهات تجاوز التفويض
إرشادات التصحيح:
1. مراقبة مستودع مشروع DevaslanPHP للتحديثات الأمنية
2. تحضير إجراءات الترقية لتطبيق التصحيحات فوراً عند الإصدار
3. اختبار التصحيحات في بيئات غير الإنتاج قبل النشر
قواعد الكشف:
1. مراقبة طلبات DELETE/PUT المتكررة لنقاط نهاية التعليقات من حسابات غير مالك التعليق
2. التنبيه على تعديلات التعليقات حيث يختلف user_id في الطلب عن المستخدم المصرح
3. تتبع محاولات التفويض الفاشلة على نقاط نهاية ViewTicket.php
📋 Regulatory Compliance Mapping
🟢 NCA ECC 2024
A.9.2.1 - User access management and authorization controls
A.9.4.3 - Password management and access control
A.12.4.1 - Event logging and monitoring
A.12.4.3 - Protection of log information
🔵 SAMA CSF
ID.AC-1 - Access Control Policy
ID.AC-3 - Access Enforcement
DE.AE-1 - Audit and Accountability
DE.CM-1 - System Monitoring
🟡 ISO 27001:2022
A.9.1.1 - Access control policy
A.9.2.1 - User registration and access rights
A.9.4.3 - Password management
A.12.4.1 - Event logging
🔗 References & Sources 6
🔗
🔗
🔗
🔗
🔗
🔗
https://github.com/devaslanphp/project-management/
cna@vuldb.com
https://github.com/devaslanphp/project-management/issues/140
cna@vuldb.com
https://vuldb.com/cve/CVE-2026-10284
cna@vuldb.com
https://vuldb.com/submit/825473
cna@vuldb.com
https://vuldb.com/vuln/367577
cna@vuldb.com
https://vuldb.com/vuln/367577/cti
cna@vuldb.com