Vulnerabilities ›

CVE-2026-20976

High

Samsung Galaxy Store Arbitrary Script Execution via Input Validation Flaw

                    Published: Jan 9, 2026                      ·  Modified: Feb 28, 2026                      ·  Source: NVD                

CVSS v3

7.8

🔗 NVD Official

📄 Description (English)

Improper input validation in Galaxy Store prior to version 4.6.02 allows local attacker to execute arbitrary script.

🤖 AI Executive Summary

Samsung Galaxy Store versions prior to 4.6.02 contain an improper input validation vulnerability (CVE-2026-20976) that allows local attackers to execute arbitrary scripts. The vulnerability has a CVSS score of 7.8 (High) and requires local access to exploit, potentially compromising device integrity and user data.

📄 Description (Arabic)

تمثل هذه الثغرة الأمنية خللاً في آلية التحقق من صحة المدخلات في تطبيق متجر سامسونج جالاكسي، مما يتيح للمهاجم المحلي تنفيذ نصوص برمجية ضارة على الأجهزة المتأثرة. يمكن استغلال هذه الثغرة من قبل تطبيقات خبيثة مثبتة على الجهاز أو مستخدم ضار لديه وصول فعلي للجهاز. قد يؤدي الاستغلال الناجح إلى تنفيذ أوامر غير مصرح بها، سرقة بيانات حساسة، أو تعديل إعدادات التطبيق. تؤثر الثغرة على جميع الإصدارات الأقدم من 4.6.02 وتتطلب تحديثاً فورياً للحماية.

🤖 ملخص تنفيذي (AI)

تحتوي إصدارات متجر سامسونج جالاكسي الأقدم من 4.6.02 على ثغرة في التحقق من صحة المدخلات (CVE-2026-20976) تسمح للمهاجمين المحليين بتنفيذ نصوص برمجية عشوائية. تحمل الثغرة درجة خطورة 7.8 (عالية) وتتطلب وصولاً محلياً للاستغلال، مما قد يعرض سلامة الجهاز وبيانات المستخدم للخطر.

🤖 AI Intelligence Analysis Analyzed: Feb 28, 2026 08:05

🇸🇦 Saudi Arabia Impact Assessment

Saudi organizations using Samsung mobile devices for business operations face significant risk as Galaxy Store is pre-installed on most Samsung devices. Compromised devices could lead to unauthorized access to corporate applications, sensitive data exfiltration, and potential breaches of PDPL compliance requirements for personal data protection.

🏢 Affected Saudi Sectors

القطاع الحكومي القطاع المالي والمصرفي قطاع الاتصالات وتقنية المعلومات قطاع الرعاية الصحية قطاع التعليم القطاع الخاص

🎯 MITRE ATT&CK Techniques

T1059.007 T1203 T1068 T1476

⚖️ Saudi Risk Score (AI)

8.0

/ 10.0

🔧 Remediation Steps (English)

1. Immediately update Samsung Galaxy Store to version 4.6.02 or later on all corporate Samsung devices through device management systems or manual updates via Galaxy Store settings.

2. Implement Mobile Device Management (MDM) policies to enforce automatic security updates and restrict installation of applications from unknown sources on all corporate devices.

3. Conduct security awareness training for employees on risks of granting excessive permissions to applications and reporting suspicious device behavior to IT security teams.

🔧 خطوات المعالجة (العربية)

1. تحديث متجر سامسونج جالاكسي فوراً إلى الإصدار 4.6.02 أو أحدث على جميع أجهزة سامسونج المؤسسية من خلال أنظمة إدارة الأجهزة أو التحديثات اليدوية عبر إعدادات متجر جالاكسي.

2. تطبيق سياسات إدارة الأجهزة المحمولة لفرض التحديثات الأمنية التلقائية وتقييد تثبيت التطبيقات من مصادر غير معروفة على جميع الأجهزة المؤسسية.

3. إجراء تدريب توعوي أمني للموظفين حول مخاطر منح صلاحيات مفرطة للتطبيقات والإبلاغ عن السلوك المشبوه للأجهزة لفرق الأمن السيبراني.

📋 Regulatory Compliance Mapping

🟢 NCA ECC 2024

ECC-1-2 (Vulnerability Management) ECC-3-1 (Mobile Device Security) ECC-5-1 (Patch Management)

🔵 SAMA CSF

CCC-1.1.1 (Asset Management) CCC-4.2.1 (Vulnerability Assessment) CCC-6.1.1 (Mobile Device Security)

🟡 ISO 27001:2022

A.12.6.1 (Management of Technical Vulnerabilities) A.6.2.1 (Mobile Device Policy) A.14.2.3 (Technical Review of Applications)

🔗 References & Sources 1

🔗

https://security.samsungmobile.com/serviceWeb.smsb?year=2026&month=01

mobile.security@samsung.com

Vendor Advisory

📦 Affected Products / CPE 1 entries

samsung:galaxy_store

📊 CVSS Score

7.8

/ 10.0 — High

📊 CVSS Vector

CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H

Attack VectorL — Low / Local

Attack ComplexityL — Low / Local

Privileges RequiredL — Low / Local

User InteractionN — None / Network

ScopeU — Unchanged

ConfidentialityH — High

IntegrityH — High

AvailabilityH — High

📋 Quick Facts

Severity High

CVSS Score7.8

EPSS0.01%

Exploit No

Patch ✓ Yes

Published 2026-01-09

Source Feed nvd

🇸🇦 Saudi Risk Score

8.0

/ 10.0 — Saudi Risk

Priority: HIGH

🏢 Vendor Advisories

🔗 https://security.samsungmobile.com/serviceWeb.smsb?y...

⚡ Actions

🔗 NVD Official Page ⚡ Exploit-DB Search 🐙 GitHub PoC Search 🎯 MITRE ATT&CK 📊 CVE Details

CVE-2026-20976

Introduce Yourself

Sign In Required