Vulnerabilities ›

CVE-2026-2864

Medium

CWE-22 — Weakness Type

                    Published: Feb 21, 2026                      ·  Modified: Feb 28, 2026                      ·  Source: NVD                

CVSS v3

5.4

🔗 NVD Official

📄 Description (English)

A vulnerability has been found in feng_ha_ha/megagao ssm-erp and production_ssm up to 4288d53bd35757b27f2d070057aefb2c07bdd097. This affects the function pictureDelete of the file PictureController.java. Such manipulation of the argument picName leads to path traversal. The attack can be launched remotely. The exploit has been disclosed to the public and may be used. This product does not use versioning. This is why information about affected and unaffected releases are unavailable. This product is distributed under two entirely different names. The project was informed of the problem early through an issue report but has not responded yet.

🤖 AI Executive Summary

A path traversal vulnerability exists in the pictureDelete function of PictureController.java in megagao ssm-erp, allowing remote attackers to manipulate the picName parameter to access unauthorized files. The vulnerability has been publicly disclosed and may be actively exploited.

📄 Description (Arabic)

تؤثر هذه الثغرة على وحدة التحكم في الصور في تطبيق megagao ssm-erp حيث يمكن للمهاجمين استخدام أحرف خاصة مثل ../ للوصول إلى ملفات خارج الدليل المقصود. يمكن استغلال هذه الثغرة عن بعد دون الحاجة إلى مصادقة.

🤖 ملخص تنفيذي (AI)

يوجد ثغرة اجتياز المسار في وظيفة pictureDelete في ملف PictureController.java في megagao ssm-erp، مما يسمح للمهاجمين البعيدين بمعالجة معامل picName للوصول إلى ملفات غير مصرح بها. تم الكشف عن الثغرة علنًا وقد يتم استغلالها بنشاط.

🤖 AI Intelligence Analysis Analyzed: May 28, 2026 00:01

🇸🇦 Saudi Arabia Impact Assessment

Saudi Relevance: medium

🏢 Affected Saudi Sectors

government banking

🎯 MITRE ATT&CK Techniques

T1083 T1190 T1566

⚖️ Saudi Risk Score (AI)

5.0

/ 10.0

🔧 Remediation Steps (English)

Update to the latest patched version of megagao ssm-erp immediately. Implement input validation and sanitization for the picName parameter to prevent path traversal attacks. Use allowlists for permitted file paths and restrict file operations to designated directories. Apply principle of least privilege to application service accounts.

🔧 خطوات المعالجة (العربية)

قم بالتحديث إلى أحدث إصدار معدل من megagao ssm-erp فورًا. قم بتطبيق التحقق من صحة المدخلات وتنظيفها لمعامل picName لمنع هجمات اجتياز المسار. استخدم قوائم بيضاء للمسارات المسموحة وقيد عمليات الملفات على الدلائل المخصصة. طبق مبدأ أقل امتياز على حسابات خدمة التطبيق.

📋 Regulatory Compliance Mapping

🟢 NCA ECC 2024

A.8.1.1 A.8.2.1 A.8.2.3

🔵 SAMA CSF

ID.RA-1 PR.AC-1 PR.AC-3

🟡 ISO 27001:2022

A.6.1.1 A.13.1.1 A.14.1.1

🔗 References & Sources 5

🔗

https://github.com/megagao/production_ssm/issues/38

cna@vuldb.com

🔗

https://github.com/megagao/production_ssm/issues/38#issue-3915113401

cna@vuldb.com

🔗

https://vuldb.com/?ctiid.347103

cna@vuldb.com

🔗

https://vuldb.com/?id.347103

cna@vuldb.com

🔗

https://vuldb.com/?submit.754557

cna@vuldb.com

📊 CVSS Score

5.4

/ 10.0 — Medium

📊 CVSS Vector

CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:L/A:L

Attack VectorN — None / Network

Attack ComplexityL — Low / Local

Privileges RequiredL — Low / Local

User InteractionN — None / Network

ScopeU — Unchanged

ConfidentialityN — None / Network

IntegrityL — Low / Local

AvailabilityL — Low / Local

📋 Quick Facts

Severity Medium

CVSS Score5.4

CWECWE-22

EPSS0.05%

Exploit No

Patch ✗ No

Published 2026-02-21

Source Feed nvd

🇸🇦 Saudi Risk Score

5.0

/ 10.0 — Saudi Risk

Priority: MEDIUM

🏷️ Tags

CWE-22

⚡ Actions

🔗 NVD Official Page ⚡ Exploit-DB Search 🐙 GitHub PoC Search 🎯 MITRE ATT&CK 📊 CVE Details

CVE-2026-2864

Introduce Yourself

Sign In Required