الثغرات ›

CVE-2026-22194

مرتفع

ثغرة CSRF في نظام GestSup تتيح إنشاء حسابات ذات صلاحيات غير مصرح بها

CWE-352 — نوع الضعف

                    نُشر: Jan 9, 2026                      ·  آخر تحديث: Feb 28, 2026                      ·  المصدر: NVD                

CVSS v3

8.8

🔗 NVD الرسمي

📄 الوصف (الإنجليزية)

GestSup versions up to and including 3.2.60 contain a cross-site request forgery (CSRF) vulnerability where the application does not verify the authenticity of client requests. An attacker can induce a logged-in user to submit crafted requests that perform actions with the victim's privileges. This can be exploited to create privileged accounts by targeting the administrative user creation endpoint.

🤖 ملخص AI

GestSup versions up to 3.2.60 contain a CSRF vulnerability allowing attackers to forge requests that execute actions with victim privileges. An attacker can create privileged accounts by exploiting the administrative user creation endpoint without proper request verification.

📄 الوصف (العربية)

تفتقر تطبيقات GestSup إلى التحقق من صحة الطلبات عبر الموقع، مما يسمح للمهاجمين بخداع المستخدمين المسجلين دخولهم لتنفيذ إجراءات غير مقصودة. يمكن استغلال هذه الثغرة بشكل خاص لإنشاء حسابات إدارية جديدة بامتيازات كاملة.

🤖 ملخص تنفيذي (AI)

إصدارات GestSup حتى 3.2.60 تحتوي على ثغرة CSRF تسمح للمهاجمين بتزوير الطلبات لتنفيذ إجراءات بامتيازات الضحية. يمكن للمهاجم إنشاء حسابات مميزة باستغلال نقطة نهاية إنشاء المستخدم الإداري بدون التحقق من الطلب.

🤖 التحليل الذكي آخر تحليل: May 1, 2026 13:37

🇸🇦 التأثير على المملكة العربية السعودية

Saudi Relevance: high

🏢 القطاعات السعودية المتأثرة

government banking healthcare

🎯 تقنيات MITRE ATT&CK

T1548 T1566 T1204

⚖️ درجة المخاطر السعودية (AI)

8.0

/ 10.0

🔧 Remediation Steps (English)

Upgrade GestSup to version 3.2.61 or later immediately. Implement CSRF tokens (synchronizer tokens) on all state-changing endpoints, particularly user creation forms. Enable SameSite cookie attributes set to Strict or Lax. Implement Content Security Policy (CSP) headers. Conduct security awareness training for administrators on CSRF attack vectors.

🔧 خطوات المعالجة (العربية)

قم بترقية GestSup إلى الإصدار 3.2.61 أو أحدث فوراً. طبق رموز CSRF على جميع نقاط النهاية التي تغير الحالة، خاصة نماذج إنشاء المستخدمين. فعّل سمات ملفات تعريف الارتباط SameSite. طبق رؤوس سياسة أمان المحتوى. أجرِ تدريباً على الوعي الأمني للمسؤولين حول ناقلات هجمات CSRF.

📋 خريطة الامتثال التنظيمي

🟢 NCA ECC 2024

5.1.1 5.1.2 5.2.1

🔵 SAMA CSF

AC-2 AC-3 SC-13

🟡 ISO 27001:2022

A.9.2.1 A.9.2.5 A.14.2.1

🔗 المراجع والمصادر 2

🔗

https://gestsup.fr/index.php?page=changelog

disclosure@vulncheck.com

Release Notes

🔗

https://www.vulncheck.com/advisories/gestsup-csrf-allows-privileged-actions

disclosure@vulncheck.com

Third Party Advisory

📦 المنتجات المتأثرة 1 منتج

gestsup:gestsup

📊 CVSS Score

8.8

/ 10.0 — مرتفع

📊 CVSS Vector

CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H

Attack VectorN — None / Network

Attack ComplexityL — Low / Local

Privileges RequiredN — None / Network

User InteractionR — Required

ScopeU — Unchanged

ConfidentialityH — High

IntegrityH — High

AvailabilityH — High

📋 حقائق سريعة

الخطورة مرتفع

CVSS Score8.8

CWECWE-352

EPSS0.01%

اختراق متاح لا

تصحيح متاح ✓ نعم

تاريخ النشر 2026-01-09

المصدر nvd

المشاهدات 7

🇸🇦 درجة المخاطر السعودية

8.0

/ 10.0 — مخاطر السعودية

أولوية: HIGH

🏷️ الوسوم

CWE-352

⚡ إجراءات

🔗 NVD Official Page ⚡ Exploit-DB Search 🐙 GitHub PoC Search 🎯 MITRE ATT&CK 📊 CVE Details

💬 التعليقات

جارٍ التحميل

CVE-2026-22194

💬 التعليقات

عرّفنا بنفسك

تسجيل الدخول مطلوب