الثغرات ›

CVE-2026-40503

متوسط

CWE-22 — نوع الضعف

                    نُشر: Apr 16, 2026                      ·  آخر تحديث: Apr 18, 2026                      ·  المصدر: NVD                

CVSS v3

6.5

🔗 NVD الرسمي

📄 الوصف (الإنجليزية)

OpenHarness prior to commit dd1d235 contains a path traversal vulnerability that allows remote gateway users with chat access to read arbitrary files by supplying path traversal sequences to the /memory show slash command. Attackers can manipulate the path input parameter to escape the project memory directory and access sensitive files accessible to the OpenHarness process without filesystem containment validation.

🤖 ملخص AI

OpenHarness versions prior to commit dd1d235 contain a path traversal vulnerability in the /memory show command that allows authenticated gateway users to read arbitrary files on the system. Attackers can bypass directory restrictions by injecting path traversal sequences to access sensitive data outside the intended project memory directory.

📄 الوصف (العربية)

تحتوي نسخ OpenHarness السابقة على ثغرة اجتياز مسار في أمر /memory show التي تسمح لمستخدمي البوابة المصرحين بقراءة ملفات عشوائية على النظام. يمكن للمهاجمين استخدام تسلسلات مثل ../ للهروب من دليل ذاكرة المشروع والوصول إلى ملفات حساسة بدون التحقق من احتواء نظام الملفات.

🤖 ملخص تنفيذي (AI)

إصدارات OpenHarness السابقة للالتزام dd1d235 تحتوي على ثغرة اجتياز المسار في أمر /memory show التي تسمح لمستخدمي البوابة المصرحين بقراءة ملفات عشوائية. يمكن للمهاجمين تجاوز قيود الدليل بحقن تسلسلات اجتياز المسار للوصول إلى البيانات الحساسة خارج دليل ذاكرة المشروع المقصود.

🤖 التحليل الذكي آخر تحليل: May 11, 2026 16:26

🇸🇦 التأثير على المملكة العربية السعودية

Saudi Relevance: medium

🏢 القطاعات السعودية المتأثرة

government banking telecom

🎯 تقنيات MITRE ATT&CK

T1083 T1021

⚖️ درجة المخاطر السعودية (AI)

6.0

/ 10.0

🔧 Remediation Steps (English)

Upgrade OpenHarness to commit dd1d235 or later immediately. Implement input validation and sanitization for all path parameters in the /memory command. Apply principle of least privilege to the OpenHarness process filesystem permissions. Deploy Web Application Firewall rules to detect and block path traversal patterns. Monitor access logs for suspicious /memory command usage with path traversal indicators.

🔧 خطوات المعالجة (العربية)

قم بترقية OpenHarness إلى الالتزام dd1d235 أو أحدث على الفور. قم بتنفيذ التحقق من صحة المدخلات وتنظيفها لجميع معاملات المسار في أمر /memory. طبق مبدأ أقل امتياز على أذونات نظام الملفات لعملية OpenHarness. قم بنشر قواعد جدار الحماية لتطبيقات الويب لكشف وحجب أنماط اجتياز المسار. راقب سجلات الوصول للكشف عن استخدام مريب لأمر /memory مع مؤشرات اجتياز المسار.

📋 خريطة الامتثال التنظيمي

🟢 NCA ECC 2024

A.14.2.1 A.12.6.1

🔵 SAMA CSF

AC-3 SI-10

🟡 ISO 27001:2022

A.6.1.2 A.13.1.3

🔗 المراجع والمصادر 3

🔗

https://github.com/HKUDS/OpenHarness/commit/dd1d235450dd987b20bff01b7bfb02fe8620a0af

disclosure@vulncheck.com

🔗

https://github.com/HKUDS/OpenHarness/pull/127

disclosure@vulncheck.com

🔗

https://www.vulncheck.com/advisories/openharness-path-traversal-information-disclosure-...

disclosure@vulncheck.com

📊 CVSS Score

6.5

/ 10.0 — متوسط

📊 CVSS Vector

CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:N

Attack VectorN — None / Network

Attack ComplexityL — Low / Local

Privileges RequiredL — Low / Local

User InteractionN — None / Network

ScopeU — Unchanged

ConfidentialityH — High

IntegrityN — None / Network

AvailabilityN — None / Network

📋 حقائق سريعة

الخطورة متوسط

CVSS Score6.5

CWECWE-22

EPSS0.01%

اختراق متاح لا

تصحيح متاح ✗ لا

تاريخ النشر 2026-04-16

المصدر nvd

المشاهدات 5

🇸🇦 درجة المخاطر السعودية

6.0

/ 10.0 — مخاطر السعودية

أولوية: MEDIUM

🏷️ الوسوم

CWE-22

⚡ إجراءات

🔗 NVD Official Page ⚡ Exploit-DB Search 🐙 GitHub PoC Search 🎯 MITRE ATT&CK 📊 CVE Details

CVE-2026-40503

عرّفنا بنفسك

تسجيل الدخول مطلوب