Vulnerabilities ›

CVE-2026-34804

Medium

Endian Firewall version 3.3.25 and prior allow stored cross-site scripting (XSS) via the dscp parameter to /manage/qos/rules/. An authenticated attacker can inject arbitrary JavaScript that is stored

CWE-79 — Weakness Type

                    Published: Apr 2, 2026                      ·  Modified: Apr 5, 2026                      ·  Source: NVD                

CVSS v3

6.4

🔗 NVD Official

📄 Description (English)

Endian Firewall version 3.3.25 and prior allow stored cross-site scripting (XSS) via the dscp parameter to /manage/qos/rules/. An authenticated attacker can inject arbitrary JavaScript that is stored and executed when other users view the affected page.

🤖 AI Executive Summary

Endian Firewall versions 3.3.25 and earlier contain a stored XSS vulnerability in the QoS rules management interface via the dscp parameter. Authenticated attackers can inject malicious JavaScript that executes for all users viewing the affected page.

📄 Description (Arabic)

ثغرة XSS مخزنة في جدار حماية Endian تسمح للمهاجمين المصرحين بحقن كود JavaScript في معامل dscp بواجهة إدارة قواعد جودة الخدمة. يتم تخزين الكود الضار وتنفيذه عند وصول المستخدمين الآخرين إلى الصفحة المتأثرة. هذا يمكن أن يؤدي إلى سرقة بيانات الجلسة والتحكم غير المصرح به في إعدادات الشبكة.

🤖 ملخص تنفيذي (AI)

جدران الحماية Endian الإصدار 3.3.25 وما قبله تحتوي على ثغرة XSS مخزنة في واجهة إدارة قواعد QoS عبر معامل dscp. يمكن للمهاجمين المصرحين بالوصول حقن كود JavaScript ضار يتم تنفيذه لجميع المستخدمين الذين يعرضون الصفحة المتأثرة.

🤖 AI Intelligence Analysis Analyzed: May 15, 2026 16:07

🇸🇦 Saudi Arabia Impact Assessment

Saudi Relevance: high

🏢 Affected Saudi Sectors

telecom energy government banking

🎯 MITRE ATT&CK Techniques

T1190 T1598 T1566

⚖️ Saudi Risk Score (AI)

6.0

/ 10.0

🔧 Remediation Steps (English)

Upgrade Endian Firewall to version 3.3.26 or later. Implement input validation and output encoding for the dscp parameter. Apply web application firewall rules to detect and block XSS payloads. Restrict administrative access to QoS management interfaces.

🔧 خطوات المعالجة (العربية)

ترقية جدار حماية Endian إلى الإصدار 3.3.26 أو أحدث. تطبيق التحقق من صحة المدخلات وترميز المخرجات لمعامل dscp. تطبيق قواعد جدار حماية تطبيقات الويب للكشف عن حمولات XSS وحجبها. تقييد الوصول الإداري إلى واجهات إدارة QoS.

📋 Regulatory Compliance Mapping

🟢 NCA ECC 2024

5.1.1 5.1.2

🔵 SAMA CSF

CC-6.1 CC-6.2

🟡 ISO 27001:2022

A.14.2.1 A.14.2.5

🔗 References & Sources 2

🔗

https://help.endian.com/hc/en-us/sections/360004371358-Community

disclosure@vulncheck.com

🔗

https://www.vulncheck.com/advisories/endian-firewall-manage-qos-rules-dscp-stored-cross...

disclosure@vulncheck.com

📊 CVSS Score

6.4

/ 10.0 — Medium

📊 CVSS Vector

CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:L/I:L/A:N

Attack VectorN — None / Network

Attack ComplexityL — Low / Local

Privileges RequiredL — Low / Local

User InteractionN — None / Network

ScopeC — Changed

ConfidentialityL — Low / Local

IntegrityL — Low / Local

AvailabilityN — None / Network

📋 Quick Facts

Severity Medium

CVSS Score6.4

CWECWE-79

EPSS0.03%

Exploit No

Patch ✗ No

Published 2026-04-02

Source Feed nvd

🇸🇦 Saudi Risk Score

6.0

/ 10.0 — Saudi Risk

Priority: MEDIUM

🏷️ Tags

CWE-79

⚡ Actions

🔗 NVD Official Page ⚡ Exploit-DB Search 🐙 GitHub PoC Search 🎯 MITRE ATT&CK 📊 CVE Details

CVE-2026-34804

Introduce Yourself

Sign In Required