Vulnerabilities ›

CVE-2026-27810

Medium ⚡ Exploit Available

CWE-113 — Weakness Type

                    Published: Feb 27, 2026                      ·  Modified: Mar 5, 2026                      ·  Source: NVD                

CVSS v3

6.4

🔗 NVD Official

📄 Description (English)

calibre is a cross-platform e-book manager for viewing, converting, editing, and cataloging e-books. Prior to version 9.4.0, an HTTP Response Header Injection vulnerability in the calibre Content Server allows any authenticated user to inject arbitrary HTTP headers into server responses via an unsanitized `content_disposition` query parameter in the `/get/` and `/data-files/get/` endpoints. All users running the calibre Content Server with authentication enabled are affected. The vulnerability is exploitable by any authenticated user and can also be triggered by tricking an authenticated victim into clicking a crafted link. Version 9.4.0 contains a fix for the issue.

🤖 AI Executive Summary

CVE-2026-27810 is an HTTP Response Header Injection vulnerability in calibre Content Server prior to version 9.4.0 that allows authenticated users to inject arbitrary HTTP headers via unsanitized query parameters. This vulnerability affects all deployments with authentication enabled and can be exploited through crafted links.

📄 Description (Arabic)

ثغرة حقن رؤوس استجابة HTTP في خادم محتوى calibre تسمح للمستخدمين المصرحين بحقن رؤوس HTTP عشوائية عبر معامل استعلام content_disposition غير معقم في نقاط نهاية /get/ و /data-files/get/. يمكن استغلال الثغرة من خلال روابط مصنوعة لخداع المستخدمين المصرحين.

🤖 ملخص تنفيذي (AI)

CVE-2026-27810 هو ثغرة حقن رؤوس HTTP في خادم محتوى calibre قبل الإصدار 9.4.0 تسمح للمستخدمين المصرحين بحقن رؤوس HTTP عشوائية عبر معاملات استعلام غير معقمة. تؤثر هذه الثغرة على جميع النشرات مع تفعيل المصادقة ويمكن استغلالها من خلال روابط مصنوعة.

🤖 AI Intelligence Analysis Analyzed: May 15, 2026 08:37

🇸🇦 Saudi Arabia Impact Assessment

Saudi Relevance: medium

🏢 Affected Saudi Sectors

government healthcare education

🎯 MITRE ATT&CK Techniques

T1190 T1598 T1566

⚖️ Saudi Risk Score (AI)

6.0

/ 10.0

🔧 Remediation Steps (English)

Upgrade calibre to version 9.4.0 or later immediately. Disable or restrict access to the calibre Content Server if not actively required. Implement network-level access controls to limit exposure to trusted networks only. Monitor server logs for suspicious query parameters containing encoded characters or header injection patterns.

🔧 خطوات المعالجة (العربية)

قم بترقية calibre إلى الإصدار 9.4.0 أو أحدث على الفور. قم بتعطيل أو تقييد الوصول إلى خادم محتوى calibre إذا لم يكن مطلوباً بنشاط. تطبيق عناصر تحكم الوصول على مستوى الشبكة لتحديد التعرض للشبكات الموثوقة فقط. مراقبة سجلات الخادم للبحث عن معاملات استعلام مريبة تحتوي على أحرف مشفرة أو أنماط حقن الرؤوس.

📋 Regulatory Compliance Mapping

🟢 NCA ECC 2024

A.13.1.1 A.14.2.1

🔵 SAMA CSF

ID.RA-1 PR.DS-1 PR.IP-1

🟡 ISO 27001:2022

A.12.6.1 A.13.1.1 A.14.2.1

🔗 References & Sources 1

🔗

https://github.com/kovidgoyal/calibre/security/advisories/GHSA-5fpj-fxw7-8grw

security-advisories@github.com

Exploit Mitigation Vendor Advisory

📦 Affected Products / CPE 1 entries

calibre-ebook:calibre

📊 CVSS Score

6.4

/ 10.0 — Medium

📊 CVSS Vector

CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:L/I:L/A:N

Attack VectorN — None / Network

Attack ComplexityL — Low / Local

Privileges RequiredL — Low / Local

User InteractionN — None / Network

ScopeC — Changed

ConfidentialityL — Low / Local

IntegrityL — Low / Local

AvailabilityN — None / Network

📋 Quick Facts

Severity Medium

CVSS Score6.4

CWECWE-113

EPSS0.03%

Exploit ✓ Yes

Patch ✗ No

Published 2026-02-27

Source Feed nvd

🇸🇦 Saudi Risk Score

6.0

/ 10.0 — Saudi Risk

Priority: MEDIUM

🏷️ Tags

CWE-113

🏢 Vendor Advisories

🔗 https://github.com/kovidgoyal/calibre/security/advis...

⚡ Actions

🔗 NVD Official Page ⚡ Exploit-DB Search 🐙 GitHub PoC Search 🎯 MITRE ATT&CK 📊 CVE Details

CVE-2026-27810

Introduce Yourself

Sign In Required