Vulnerabilities ›

CVE-2026-34752

High ⚡ Exploit Available

CWE-248 — Weakness Type

                    Published: Apr 2, 2026                      ·  Modified: Apr 9, 2026                      ·  Source: NVD                

CVSS v3

7.5

🔗 NVD Official

📄 Description (English)

Haraka is a Node.js mail server. Prior to version 3.1.4, sending an email with __proto__: as a header name crashes the Haraka worker process. This issue has been patched in version 3.1.4.

🤖 AI Executive Summary

CVE-2026-34752 is a denial of service vulnerability in Haraka mail server versions prior to 3.1.4, where specially crafted emails with __proto__ header names crash worker processes. Organizations running vulnerable Haraka versions should upgrade immediately to patch this issue.

📄 Description (Arabic)

ثغرة حجب الخدمة في خادم البريد Haraka تحدث عندما يتم إرسال رسالة بريد إلكترونية تحتوي على اسم رأس __proto__، مما يؤدي إلى توقف عملية العامل. هذه الثغرة تؤثر على جميع الإصدارات السابقة للإصدار 3.1.4 وتم إصلاحها في الإصدار 3.1.4 وما بعده.

🤖 ملخص تنفيذي (AI)

ثغرة CVE-2026-34752 هي ثغرة حجب الخدمة في خادم البريد Haraka الإصدارات السابقة للإصدار 3.1.4، حيث تؤدي رسائل البريد المصممة خصيصاً برؤوس __proto__ إلى توقف عمليات العامل. يجب على المؤسسات التي تشغل إصدارات Haraka المعرضة للخطر الترقية فوراً لتطبيق هذا الإصلاح.

🤖 AI Intelligence Analysis Analyzed: May 2, 2026 19:17

🇸🇦 Saudi Arabia Impact Assessment

Saudi Relevance: high

🏢 Affected Saudi Sectors

telecom government banking healthcare

🎯 MITRE ATT&CK Techniques

T1499.004

⚖️ Saudi Risk Score (AI)

7.0

/ 10.0

🔧 Remediation Steps (English)

Upgrade Haraka to version 3.1.4 or later immediately. Implement email filtering rules to reject messages with suspicious header names containing __proto__. Monitor mail server logs for crash events and implement rate limiting on incoming mail.

🔧 خطوات المعالجة (العربية)

قم بترقية Haraka إلى الإصدار 3.1.4 أو أحدث فوراً. طبق قواعد تصفية البريد الإلكتروني لرفض الرسائل برؤوس مريبة تحتوي على __proto__. راقب سجلات خادم البريد لأحداث الأعطال وطبق تحديد معدل على البريد الوارد.

📋 Regulatory Compliance Mapping

🟢 NCA ECC 2024

A.12.6.1 A.14.2.1

🔵 SAMA CSF

ID.BE-5 PR.IP-1 DE.AE-1

🟡 ISO 27001:2022

A.12.6.1 A.14.2.1 A.16.1.5

🔗 References & Sources 2

🔗

https://github.com/haraka/Haraka/releases/tag/v3.1.4

security-advisories@github.com

Release Notes

🔗

https://github.com/haraka/Haraka/security/advisories/GHSA-xph3-r2jf-4vp3

security-advisories@github.com

Exploit Vendor Advisory

📦 Affected Products / CPE 1 entries

haraka_project:haraka

📊 CVSS Score

7.5

/ 10.0 — High

📊 CVSS Vector

CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H

Attack VectorN — None / Network

Attack ComplexityL — Low / Local

Privileges RequiredN — None / Network

User InteractionN — None / Network

ScopeU — Unchanged

ConfidentialityN — None / Network

IntegrityN — None / Network

AvailabilityH — High

📋 Quick Facts

Severity High

CVSS Score7.5

CWECWE-248

EPSS0.04%

Exploit ✓ Yes

Patch ✗ No

Published 2026-04-02

Source Feed nvd

🇸🇦 Saudi Risk Score

7.0

/ 10.0 — Saudi Risk

Priority: HIGH

🏷️ Tags

exploit-available CWE-248

🏢 Vendor Advisories

🔗 https://github.com/haraka/Haraka/security/advisories...

⚡ Actions

🔗 NVD Official Page ⚡ Exploit-DB Search 🐙 GitHub PoC Search 🎯 MITRE ATT&CK 📊 CVE Details

💬 Comments

Loading comments

CVE-2026-34752

💬 Comments

Introduce Yourself

Sign In Required