الثغرات ›

CVE-2026-24350

متوسط

CWE-79 — نوع الضعف

                    نُشر: Feb 27, 2026                      ·  آخر تحديث: Mar 5, 2026                      ·  المصدر: NVD                

CVSS v3

5.4

🔗 NVD الرسمي

📄 الوصف (الإنجليزية)

PluXml CMS is vulnerable to Stored XSS in file uploading functionality. An authenticated attacker can upload an SVG file containing a malicious payload, which will be executed when a victim clicks the link associated with the uploaded image.
In version 5.9.0-rc7 clicking the link associated with the uploaded image doesn't execute malicious code but directly accessing the file will still execute the embedded payload.

The vendor was notified early about this vulnerability, but didn't respond with the details of vulnerability or vulnerable version range. Only versions 5.8.21 and 5.9.0-rc7 were tested and confirmed as vulnerable, other versions were not tested and might also be vulnerable.

🤖 ملخص AI

PluXml CMS contains a Stored XSS vulnerability in its file upload functionality that allows authenticated attackers to upload malicious SVG files. When victims access the uploaded files directly, the embedded payload executes in their browsers, potentially compromising their sessions and data.

📄 الوصف (العربية)

ثغرة Stored XSS في نظام إدارة المحتوى PluXml تسمح للمهاجمين المصرحين بتحميل ملفات SVG تحتوي على رموز ضارة. عند الوصول المباشر إلى الملفات المرفوعة، يتم تنفيذ الحمولة الضارة في متصفح الضحية. تم تأكيد الثغرة في الإصدارات 5.8.21 و 5.9.0-rc7 ولم يتم اختبار الإصدارات الأخرى.

🤖 ملخص تنفيذي (AI)

نظام إدارة المحتوى PluXml يحتوي على ثغرة Stored XSS في وظيفة تحميل الملفات تسمح للمهاجمين المصرحين بتحميل ملفات SVG ضارة. عند وصول الضحايا إلى الملفات المرفوعة مباشرة، يتم تنفيذ الحمولة المضمنة في متصفحاتهم.

🤖 التحليل الذكي آخر تحليل: May 26, 2026 04:50

🇸🇦 التأثير على المملكة العربية السعودية

Saudi Relevance: medium

🏢 القطاعات السعودية المتأثرة

government healthcare

🎯 تقنيات MITRE ATT&CK

T1190 T1566 T1204

⚖️ درجة المخاطر السعودية (AI)

5.0

/ 10.0

🔧 Remediation Steps (English)

Update PluXml CMS to a patched version beyond 5.9.0-rc7 when available. Implement strict file upload validation to reject SVG files or sanitize SVG content. Configure web server to serve uploaded files with appropriate Content-Type headers and Content-Disposition: attachment. Restrict file access permissions and monitor uploaded file directories. Educate users about risks of accessing files from untrusted sources.

🔧 خطوات المعالجة (العربية)

قم بتحديث نظام PluXml CMS إلى نسخة مصححة بعد 5.9.0-rc7 عند توفرها. قم بتطبيق التحقق الصارم من تحميل الملفات لرفض ملفات SVG أو تنظيف محتواها. قم بتكوين خادم الويب لتقديم الملفات المرفوعة برؤوس Content-Type مناسبة و Content-Disposition: attachment. قيد أذونات الوصول إلى الملفات ومراقبة دلائل الملفات المرفوعة. علم المستخدمين بمخاطر الوصول إلى الملفات من مصادر غير موثوقة.

📋 خريطة الامتثال التنظيمي

🟢 NCA ECC 2024

7.1 7.2 8.1

🔵 SAMA CSF

ID.RA-1 PR.DS-1 DE.CM-1

🟡 ISO 27001:2022

A.14.2.1 A.14.2.5

🔗 المراجع والمصادر 2

🔗

https://cert.pl/posts/2026/03/CVE-2026-24350

🔗

📦 المنتجات المتأثرة 2 منتج

pluxml:pluxml:5.8.9

pluxml:pluxml:5.8.21

📊 CVSS Score

5.4

/ 10.0 — متوسط

📊 CVSS Vector

CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N

Attack VectorN — None / Network

Attack ComplexityL — Low / Local

Privileges RequiredL — Low / Local

User InteractionR — Required

ScopeC — Changed

ConfidentialityL — Low / Local

IntegrityL — Low / Local

AvailabilityN — None / Network

📋 حقائق سريعة

الخطورة متوسط

CVSS Score5.4

CWECWE-79

EPSS0.05%

اختراق متاح لا

تصحيح متاح ✗ لا

تاريخ النشر 2026-02-27

المصدر nvd

المشاهدات 7

🇸🇦 درجة المخاطر السعودية

5.0

/ 10.0 — مخاطر السعودية

أولوية: MEDIUM

🏷️ الوسوم

CWE-79

⚡ إجراءات

🔗 NVD Official Page ⚡ Exploit-DB Search 🐙 GitHub PoC Search 🎯 MITRE ATT&CK 📊 CVE Details

💬 التعليقات

جارٍ التحميل

CVE-2026-24350

💬 التعليقات

عرّفنا بنفسك

تسجيل الدخول مطلوب