Vulnerabilities ›

CVE-2026-40503

Medium

CWE-22 — Weakness Type

                    Published: Apr 16, 2026                      ·  Modified: Apr 18, 2026                      ·  Source: NVD                

CVSS v3

6.5

🔗 NVD Official

📄 Description (English)

OpenHarness prior to commit dd1d235 contains a path traversal vulnerability that allows remote gateway users with chat access to read arbitrary files by supplying path traversal sequences to the /memory show slash command. Attackers can manipulate the path input parameter to escape the project memory directory and access sensitive files accessible to the OpenHarness process without filesystem containment validation.

🤖 AI Executive Summary

OpenHarness versions prior to commit dd1d235 contain a path traversal vulnerability in the /memory show command that allows authenticated gateway users to read arbitrary files on the system. Attackers can bypass directory restrictions by injecting path traversal sequences to access sensitive data outside the intended project memory directory.

📄 Description (Arabic)

تحتوي نسخ OpenHarness السابقة على ثغرة اجتياز مسار في أمر /memory show التي تسمح لمستخدمي البوابة المصرحين بقراءة ملفات عشوائية على النظام. يمكن للمهاجمين استخدام تسلسلات مثل ../ للهروب من دليل ذاكرة المشروع والوصول إلى ملفات حساسة بدون التحقق من احتواء نظام الملفات.

🤖 ملخص تنفيذي (AI)

إصدارات OpenHarness السابقة للالتزام dd1d235 تحتوي على ثغرة اجتياز المسار في أمر /memory show التي تسمح لمستخدمي البوابة المصرحين بقراءة ملفات عشوائية. يمكن للمهاجمين تجاوز قيود الدليل بحقن تسلسلات اجتياز المسار للوصول إلى البيانات الحساسة خارج دليل ذاكرة المشروع المقصود.

🤖 AI Intelligence Analysis Analyzed: May 11, 2026 16:26

🇸🇦 Saudi Arabia Impact Assessment

Saudi Relevance: medium

🏢 Affected Saudi Sectors

government banking telecom

🎯 MITRE ATT&CK Techniques

T1083 T1021

⚖️ Saudi Risk Score (AI)

6.0

/ 10.0

🔧 Remediation Steps (English)

Upgrade OpenHarness to commit dd1d235 or later immediately. Implement input validation and sanitization for all path parameters in the /memory command. Apply principle of least privilege to the OpenHarness process filesystem permissions. Deploy Web Application Firewall rules to detect and block path traversal patterns. Monitor access logs for suspicious /memory command usage with path traversal indicators.

🔧 خطوات المعالجة (العربية)

قم بترقية OpenHarness إلى الالتزام dd1d235 أو أحدث على الفور. قم بتنفيذ التحقق من صحة المدخلات وتنظيفها لجميع معاملات المسار في أمر /memory. طبق مبدأ أقل امتياز على أذونات نظام الملفات لعملية OpenHarness. قم بنشر قواعد جدار الحماية لتطبيقات الويب لكشف وحجب أنماط اجتياز المسار. راقب سجلات الوصول للكشف عن استخدام مريب لأمر /memory مع مؤشرات اجتياز المسار.

📋 Regulatory Compliance Mapping

🟢 NCA ECC 2024

A.14.2.1 A.12.6.1

🔵 SAMA CSF

AC-3 SI-10

🟡 ISO 27001:2022

A.6.1.2 A.13.1.3

🔗 References & Sources 3

🔗

https://github.com/HKUDS/OpenHarness/commit/dd1d235450dd987b20bff01b7bfb02fe8620a0af

disclosure@vulncheck.com

🔗

https://github.com/HKUDS/OpenHarness/pull/127

disclosure@vulncheck.com

🔗

https://www.vulncheck.com/advisories/openharness-path-traversal-information-disclosure-...

disclosure@vulncheck.com

📊 CVSS Score

6.5

/ 10.0 — Medium

📊 CVSS Vector

CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:N

Attack VectorN — None / Network

Attack ComplexityL — Low / Local

Privileges RequiredL — Low / Local

User InteractionN — None / Network

ScopeU — Unchanged

ConfidentialityH — High

IntegrityN — None / Network

AvailabilityN — None / Network

📋 Quick Facts

Severity Medium

CVSS Score6.5

CWECWE-22

EPSS0.01%

Exploit No

Patch ✗ No

Published 2026-04-16

Source Feed nvd

🇸🇦 Saudi Risk Score

6.0

/ 10.0 — Saudi Risk

Priority: MEDIUM

🏷️ Tags

CWE-22

⚡ Actions

🔗 NVD Official Page ⚡ Exploit-DB Search 🐙 GitHub PoC Search 🎯 MITRE ATT&CK 📊 CVE Details

💬 Comments

Loading comments

CVE-2026-40503

💬 Comments

Introduce Yourself

Sign In Required