الثغرات ›

CVE-2026-22035

مرتفع ⚡ اختراق متاح

ثغرة حقن أوامر نظام التشغيل في Greenshot عبر معالجة أسماء الملفات غير المعقمة

CWE-78 — نوع الضعف

                    نُشر: Jan 8, 2026                      ·  آخر تحديث: Feb 28, 2026                      ·  المصدر: NVD                

CVSS v3

7.7

🔗 NVD الرسمي

📄 الوصف (الإنجليزية)

Greenshot is an open source Windows screenshot utility. Versions 1.3.310 and below arvulnerable to OS Command Injection through unsanitized filename processing. The FormatArguments method in ExternalCommandDestination.cs:269 uses string.Format() to insert user-controlled filenames directly into shell commands without sanitization, allowing attackers to execute arbitrary commands by crafting malicious filenames containing shell metacharacters. This issue is fixed in version 1.3.311.

🤖 ملخص AI

Greenshot screenshot utility versions 1.3.310 and below are vulnerable to OS command injection through unsanitized filename processing in the FormatArguments method. Attackers can execute arbitrary commands by crafting malicious filenames containing shell metacharacters.

📄 الوصف (العربية)

تحتوي أداة Greenshot على ثغرة حقن أوامر نظام التشغيل في الإصدارات 1.3.310 وما دونها حيث تقوم دالة FormatArguments بإدراج أسماء الملفات التي يتحكم بها المستخدم مباشرة في أوامر shell دون تعقيم. يمكن للمهاجمين استغلال هذه الثغرة بإنشاء أسماء ملفات ضارة تحتوي على أحرف خاصة لتنفيذ أوامر تعسفية على النظام.

🤖 ملخص تنفيذي (AI)

أداة Greenshot لالتقاط الشاشة الإصدارات 1.3.310 وما دونها عرضة لحقن أوامر نظام التشغيل من خلال معالجة أسماء الملفات غير المعقمة. يمكن للمهاجمين تنفيذ أوامر تعسفية بصياغة أسماء ملفات ضارة تحتوي على أحرف ميتاشل.

🤖 التحليل الذكي آخر تحليل: May 2, 2026 16:00

🇸🇦 التأثير على المملكة العربية السعودية

Saudi Relevance: medium

🏢 القطاعات السعودية المتأثرة

government banking telecom

🎯 تقنيات MITRE ATT&CK

T1059.001 T1059.003 T1203

⚖️ درجة المخاطر السعودية (AI)

8.0

/ 10.0

🔧 Remediation Steps (English)

Update Greenshot to version 1.3.311 or later immediately. If immediate patching is not possible, restrict file naming conventions and disable external command execution features until the patch is applied.

🔧 خطوات المعالجة (العربية)

قم بتحديث Greenshot إلى الإصدار 1.3.311 أو أحدث على الفور. إذا لم يكن التصحيح الفوري ممكناً، قيد اتفاقيات تسمية الملفات وعطل ميزات تنفيذ الأوامر الخارجية حتى يتم تطبيق التصحيح.

📋 خريطة الامتثال التنظيمي

🟢 NCA ECC 2024

A.12.6.1 A.14.2.1

🔵 SAMA CSF

ID.RA-1 PR.IP-12

🟡 ISO 27001:2022

A.12.6.1 A.14.2.1 A.14.2.5

🔗 المراجع والمصادر 4

🔗

https://github.com/greenshot/greenshot/commit/5dedd5c9f0a9896fa0af1d4980d875a48bf432cb

security-advisories@github.com

Patch

🔗

https://github.com/greenshot/greenshot/releases/tag/v1.3.311

security-advisories@github.com

Release Notes

🔗

https://github.com/greenshot/greenshot/security/advisories/GHSA-7hvw-q8q5-gpmj

security-advisories@github.com

Vendor Advisory Exploit

🔗

https://github.com/greenshot/greenshot/security/advisories/GHSA-7hvw-q8q5-gpmj

134c704f-9b21-4f2e-91b3-4a467353bcc0

Vendor Advisory Exploit

📦 المنتجات المتأثرة 1 منتج

getgreenshot:greenshot

📊 CVSS Score

7.7

/ 10.0 — مرتفع

📊 CVSS Vector

CVSS:3.1/AV:L/AC:H/PR:N/UI:R/S:C/C:H/I:H/A:H

Attack VectorL — Low / Local

Attack ComplexityH — High

Privileges RequiredN — None / Network

User InteractionR — Required

ScopeC — Changed

ConfidentialityH — High

IntegrityH — High

AvailabilityH — High

📋 حقائق سريعة

الخطورة مرتفع

CVSS Score7.7

CWECWE-78

EPSS0.05%

اختراق متاح ✓ نعم

تصحيح متاح ✓ نعم

تاريخ النشر 2026-01-08

المصدر nvd

المشاهدات 7

🇸🇦 درجة المخاطر السعودية

8.0

/ 10.0 — مخاطر السعودية

أولوية: HIGH

🏷️ الوسوم

exploit-available patch-available CWE-78

🏢 توجيهات البائع

🔗 https://github.com/greenshot/greenshot/security/advi... 🔗 https://github.com/greenshot/greenshot/security/advi...

⚡ إجراءات

🔗 NVD Official Page ⚡ Exploit-DB Search 🐙 GitHub PoC Search 🎯 MITRE ATT&CK 📊 CVE Details

💬 التعليقات

جارٍ التحميل

CVE-2026-22035

💬 التعليقات

عرّفنا بنفسك

تسجيل الدخول مطلوب