Vulnerabilities ›

CVE-2026-27824

Medium ⚡ Exploit Available

CWE-307 — Weakness Type

                    Published: Feb 27, 2026                      ·  Modified: Mar 5, 2026                      ·  Source: NVD                

CVSS v3

5.3

🔗 NVD Official

📄 Description (English)

calibre is a cross-platform e-book manager for viewing, converting, editing, and cataloging e-books. Prior to version 9.4.0, the calibre Content Server's brute-force protection mechanism uses a ban key derived from both `remote_addr` and the `X-Forwarded-For` header. Since the `X-Forwarded-For` header is read directly from the HTTP request without any validation or trusted-proxy configuration, an attacker can bypass IP-based bans by simply changing or adding this header, rendering the brute-force protection completely ineffective. This is particularly dangerous for calibre servers exposed to the internet, where brute-force protection is the primary defense against credential stuffing and password guessing attacks. Version 9.4.0 contains a fix for the issue.

🤖 AI Executive Summary

Calibre Content Server versions prior to 9.4.0 have a brute-force protection bypass vulnerability where attackers can manipulate the X-Forwarded-For header to circumvent IP-based bans. This allows credential stuffing and password guessing attacks against exposed calibre servers.

📄 Description (Arabic)

يستخدم خادم محتوى Calibre مفتاح الحظر المشتق من عنوان IP البعيد ورأس X-Forwarded-For دون التحقق من صحة الرأس أو تكوين الوكيل الموثوق. يمكن للمهاجمين تغيير أو إضافة هذا الرأس لتجاوز حماية القوة الغاشمة بسهولة، مما يجعل الخادم عرضة لهجمات حشو بيانات الاعتماد.

🤖 ملخص تنفيذي (AI)

خادم محتوى Calibre الإصدارات السابقة للإصدار 9.4.0 تحتوي على ثغرة تجاوز حماية القوة الغاشمة حيث يمكن للمهاجمين التلاعب برأس X-Forwarded-For لتجاوز الحظر القائم على عنوان IP. يسمح هذا بهجمات حشو بيانات الاعتماد والتخمين على كلمات المرور ضد خوادم Calibre المكشوفة.

🤖 AI Intelligence Analysis Analyzed: May 30, 2026 03:50

🇸🇦 Saudi Arabia Impact Assessment

Saudi Relevance: high

🏢 Affected Saudi Sectors

government healthcare banking

🎯 MITRE ATT&CK Techniques

T1110.001 T1110.003 T1021.001

⚖️ Saudi Risk Score (AI)

6.0

/ 10.0

🔧 Remediation Steps (English)

Update calibre to version 9.4.0 or later immediately. Implement trusted proxy configuration to validate X-Forwarded-For headers only from known proxy servers. Deploy rate limiting at the reverse proxy or WAF level. Monitor authentication logs for suspicious brute-force patterns. Consider implementing CAPTCHA or account lockout mechanisms.

🔧 خطوات المعالجة (العربية)

قم بتحديث Calibre إلى الإصدار 9.4.0 أو أحدث على الفور. قم بتنفيذ تكوين الوكيل الموثوق للتحقق من رؤوس X-Forwarded-For فقط من خوادم الوكيل المعروفة. نشر تحديد معدل على مستوى الوكيل العكسي أو WAF. مراقبة سجلات المصادقة للأنماط المريبة للقوة الغاشمة. فكر في تنفيذ آليات CAPTCHA أو قفل الحساب.

📋 Regulatory Compliance Mapping

🟢 NCA ECC 2024

5.1.1 5.1.2 5.2.1

🔵 SAMA CSF

AC-2 AC-3 SI-4

🟡 ISO 27001:2022

A.9.2.1 A.9.4.3 A.12.6.1

🔗 References & Sources 1

🔗

https://github.com/kovidgoyal/calibre/security/advisories/GHSA-vhxc-r7v8-2xrw

security-advisories@github.com

Exploit Vendor Advisory

📦 Affected Products / CPE 1 entries

calibre-ebook:calibre

📊 CVSS Score

5.3

/ 10.0 — Medium

📊 CVSS Vector

CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:N

Attack VectorN — None / Network

Attack ComplexityL — Low / Local

Privileges RequiredN — None / Network

User InteractionN — None / Network

ScopeU — Unchanged

ConfidentialityL — Low / Local

IntegrityN — None / Network

AvailabilityN — None / Network

📋 Quick Facts

Severity Medium

CVSS Score5.3

CWECWE-307

Exploit ✓ Yes

Patch ✗ No

Published 2026-02-27

Source Feed nvd

🇸🇦 Saudi Risk Score

6.0

/ 10.0 — Saudi Risk

Priority: MEDIUM

🏷️ Tags

CWE-307

🏢 Vendor Advisories

🔗 https://github.com/kovidgoyal/calibre/security/advis...

⚡ Actions

🔗 NVD Official Page ⚡ Exploit-DB Search 🐙 GitHub PoC Search 🎯 MITRE ATT&CK 📊 CVE Details

CVE-2026-27824

Introduce Yourself

Sign In Required