Vulnerabilities ›

CVE-2026-40039

Medium

CWE-305 — Weakness Type

                    Published: Apr 13, 2026                      ·  Modified: Apr 16, 2026                      ·  Source: NVD                

CVSS v3

6.5

🔗 NVD Official

📄 Description (English)

Pachno 1.0.6 contains an open redirection vulnerability that allows attackers to redirect users to arbitrary external websites by manipulating the return_to parameter. Attackers can craft malicious login URLs with unvalidated return_to values to conduct phishing attacks and steal user credentials.

🤖 AI Executive Summary

Pachno 1.0.6 contains an open redirection vulnerability in the return_to parameter that allows attackers to redirect users to malicious external websites. This vulnerability can be exploited to conduct phishing attacks and steal user credentials through crafted login URLs.

📄 Description (Arabic)

تحتوي نسخة Pachno 1.0.6 على ثغرة أمنية في معامل return_to لا تتحقق من صحة عناوين URL المعاد التوجيه إليها. يمكن للمهاجمين استخدام هذه الثغرة لإنشاء روابط تسجيل دخول ضارة تعيد توجيه المستخدمين إلى مواقع احتيالية. قد يؤدي هذا إلى سرقة بيانات اعتماد المستخدمين والوصول غير المصرح به إلى الحسابات.

🤖 ملخص تنفيذي (AI)

Pachno 1.0.6 يحتوي على ثغرة إعادة توجيه مفتوحة في معامل return_to تسمح للمهاجمين بإعادة توجيه المستخدمين إلى مواقع خارجية ضارة. يمكن استغلال هذه الثغرة لشن هجمات التصيد الاحتيالي وسرقة بيانات اعتماد المستخدمين.

🤖 AI Intelligence Analysis Analyzed: May 11, 2026 09:19

🇸🇦 Saudi Arabia Impact Assessment

Saudi Relevance: medium

🏢 Affected Saudi Sectors

government telecom banking

🎯 MITRE ATT&CK Techniques

T1598.003 T1566.002 T1598.004

⚖️ Saudi Risk Score (AI)

6.0

/ 10.0

🔧 Remediation Steps (English)

Upgrade Pachno to a patched version beyond 1.0.6. Implement strict validation and whitelisting of the return_to parameter to only allow redirects to trusted internal URLs. Use URL parsing libraries to validate redirect destinations and reject any external URLs. Implement Content Security Policy headers to prevent open redirects.

🔧 خطوات المعالجة (العربية)

قم بترقية Pachno إلى إصدار مصحح أحدث من 1.0.6. طبق التحقق الصارم والقائمة البيضاء لمعامل return_to للسماح فقط بإعادة التوجيه إلى عناوين URL داخلية موثوقة. استخدم مكتبات تحليل URL للتحقق من وجهات إعادة التوجيه ورفض أي عناوين URL خارجية. طبق رؤوس سياسة أمان المحتوى لمنع إعادة التوجيه المفتوحة.

📋 Regulatory Compliance Mapping

🟢 NCA ECC 2024

A.14.2.1 A.14.2.5

🔵 SAMA CSF

AC-3 SI-10

🟡 ISO 27001:2022

A.13.1.3 A.14.2.1

🔗 References & Sources 2

🔗

https://www.vulncheck.com/advisories/pachno-open-redirection-via-return-to-parameter

disclosure@vulncheck.com

🔗

https://www.zeroscience.mk/en/vulnerabilities/ZSL-2026-5981.php

disclosure@vulncheck.com

📊 CVSS Score

6.5

/ 10.0 — Medium

📊 CVSS Vector

CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:N/A:N

Attack VectorN — None / Network

Attack ComplexityL — Low / Local

Privileges RequiredN — None / Network

User InteractionR — Required

ScopeU — Unchanged

ConfidentialityH — High

IntegrityN — None / Network

AvailabilityN — None / Network

📋 Quick Facts

Severity Medium

CVSS Score6.5

CWECWE-305

EPSS0.03%

Exploit No

Patch ✗ No

Published 2026-04-13

Source Feed nvd

🇸🇦 Saudi Risk Score

6.0

/ 10.0 — Saudi Risk

Priority: MEDIUM

🏷️ Tags

CWE-305

⚡ Actions

🔗 NVD Official Page ⚡ Exploit-DB Search 🐙 GitHub PoC Search 🎯 MITRE ATT&CK 📊 CVE Details

CVE-2026-40039

Introduce Yourself

Sign In Required