Vulnerabilities ›

CVE-2026-39355

Critical ⚡ Exploit Available

CWE-862 — Weakness Type

                    Published: Apr 7, 2026                      ·  Modified: Apr 14, 2026                      ·  Source: NVD                

CVSS v3

9.9

🔗 NVD Official

📄 Description (English)

Genealogy is a family tree PHP application. Prior to 5.9.1, a critical broken access control vulnerability in the genealogy application allows any authenticated user to transfer ownership of arbitrary non-personal teams to themselves. This enables complete takeover of other users’ team workspaces and unrestricted access to all genealogy data associated with the compromised team. This vulnerability is fixed in 5.9.1.

🤖 AI Executive Summary

A critical broken access control vulnerability in Genealogy PHP application allows authenticated users to transfer ownership of arbitrary teams to themselves, enabling complete workspace takeover. This affects versions prior to 5.9.1 and requires immediate patching to prevent unauthorized access to sensitive genealogy data.

📄 Description (Arabic)

يسمح هذا الضعف للمستخدمين المصرحين بنقل ملكية فرق غير شخصية إلى أنفسهم دون تفويض مناسب. يؤدي هذا إلى السيطرة الكاملة على مساحات عمل الفريق والوصول غير المقيد إلى جميع بيانات الأنساب المرتبطة بالفريق المخترق. الثغرة موجودة في جميع الإصدارات السابقة للإصدار 5.9.1.

🤖 ملخص تنفيذي (AI)

تم اكتشاف ثغرة حرجة في التحكم بالوصول في تطبيق Genealogy PHP تسمح للمستخدمين المصرحين بنقل ملكية الفرق التعسفية لأنفسهم. هذا يمكن المهاجمين من السيطرة الكاملة على مساحات عمل الفرق الأخرى والوصول غير المقيد إلى بيانات الأنساب الحساسة.

🤖 AI Intelligence Analysis Analyzed: Apr 12, 2026 15:34

🇸🇦 Saudi Arabia Impact Assessment

Saudi Relevance: high

🏢 Affected Saudi Sectors

government healthcare

🎯 MITRE ATT&CK Techniques

T1078.001 T1098.002 T1548.002

⚖️ Saudi Risk Score (AI)

10.0

/ 10.0

🔧 Remediation Steps (English)

Immediately upgrade Genealogy application to version 5.9.1 or later. Implement strict access control validation for team ownership transfers, enforce role-based access controls (RBAC), conduct security audit of all team ownership changes, and monitor for suspicious ownership transfer activities in logs.

🔧 خطوات المعالجة (العربية)

قم بترقية تطبيق Genealogy فوراً إلى الإصدار 5.9.1 أو أحدث. طبق التحقق الصارم من التحكم بالوصول لعمليات نقل ملكية الفريق، وفرض التحكم بالوصول القائم على الأدوار، وأجرِ تدقيقاً أمنياً لجميع تغييرات ملكية الفريق، ومراقبة الأنشطة المريبة في السجلات.

📋 Regulatory Compliance Mapping

🟢 NCA ECC 2024

5.1 5.2 5.3

🔵 SAMA CSF

AC-2 AC-3 AC-5

🟡 ISO 27001:2022

A.9.1.1 A.9.2.1 A.9.4.1

🔗 References & Sources 2

🔗

https://github.com/MGeurts/genealogy/security/advisories/GHSA-2rq7-jqm7-w8x4

security-advisories@github.com

Exploit Vendor Advisory

🔗

https://github.com/MGeurts/genealogy/security/advisories/GHSA-2rq7-jqm7-w8x4

134c704f-9b21-4f2e-91b3-4a467353bcc0

Exploit Vendor Advisory

📦 Affected Products / CPE 1 entries

kreaweb:genealogy

📊 CVSS Score

9.9

/ 10.0 — Critical

📊 CVSS Vector

CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H

Attack VectorN — None / Network

Attack ComplexityL — Low / Local

Privileges RequiredL — Low / Local

User InteractionN — None / Network

ScopeC — Changed

ConfidentialityH — High

IntegrityH — High

AvailabilityH — High

📋 Quick Facts

Severity Critical

CVSS Score9.9

CWECWE-862

EPSS0.04%

Exploit ✓ Yes

Patch ✗ No

Published 2026-04-07

Source Feed nvd

🇸🇦 Saudi Risk Score

10.0

/ 10.0 — Saudi Risk

Priority: CRITICAL

🏷️ Tags

exploit-available CWE-862

🏢 Vendor Advisories

🔗 https://github.com/MGeurts/genealogy/security/adviso... 🔗 https://github.com/MGeurts/genealogy/security/adviso...

⚡ Actions

🔗 NVD Official Page ⚡ Exploit-DB Search 🐙 GitHub PoC Search 🎯 MITRE ATT&CK 📊 CVE Details

CVE-2026-39355

Introduce Yourself

Sign In Required