Vulnerabilities ›

CVE-2026-41464

Medium

CWE-862 — Weakness Type

                    Published: Apr 27, 2026                      ·  Modified: Apr 30, 2026                      ·  Source: NVD                

CVSS v3

6.5

🔗 NVD Official

📄 Description (English)

ProjeQtor versions 7.0 through 12.4.3 contain a missing authorization vulnerability in the objectDetail.php endpoint that allows authenticated users with guest-level privileges to retrieve sensitive data belonging to other users including password hashes and API keys. Attackers can bypass access controls by directly accessing the endpoint without ownership or role-based validation to extract administrator credentials and perform privilege escalation.

🤖 AI Executive Summary

ProjeQtor versions 7.0-12.4.3 suffer from missing authorization in objectDetail.php allowing authenticated guest users to access sensitive data including password hashes and API keys of other users. This vulnerability enables privilege escalation through direct endpoint access without proper ownership or role validation.

📄 Description (Arabic)

تحتوي ثغرة CVE-2026-41464 على نقص في التحقق من التفويض في نقطة نهاية objectDetail.php بـ ProjeQtor. يمكن للمستخدمين المصرح لهم برؤية البيانات الحساسة لمستخدمين آخرين بما فيها بيانات اعتماد المسؤولين وفتاتيح API. هذا يسمح بتصعيد الامتيازات والوصول غير المصرح به إلى المعلومات الحساسة.

🤖 ملخص تنفيذي (AI)

إصدارات ProjeQtor من 7.0 إلى 12.4.3 تحتوي على ثغرة تفويض مفقودة في نقطة نهاية objectDetail.php تسمح للمستخدمين المصرح لهم برؤية البيانات الحساسة لمستخدمين آخرين. يمكن للمهاجمين الوصول المباشر إلى بيانات كلمات المرور وفتاتيح API دون التحقق من الملكية أو الأدوار.

🤖 AI Intelligence Analysis Analyzed: May 11, 2026 16:25

🇸🇦 Saudi Arabia Impact Assessment

Saudi Relevance: high

🏢 Affected Saudi Sectors

government banking telecom energy healthcare

🎯 MITRE ATT&CK Techniques

T1078.001 T1110.004 T1087.001

⚖️ Saudi Risk Score (AI)

7.0

/ 10.0

🔧 Remediation Steps (English)

Upgrade ProjeQtor to version 12.4.4 or later immediately. Implement strict role-based access control (RBAC) validation on all endpoints. Conduct security audit of objectDetail.php and similar endpoints. Monitor access logs for unauthorized data retrieval attempts. Restrict guest-level user permissions and enforce principle of least privilege.

🔧 خطوات المعالجة (العربية)

قم بترقية ProjeQtor إلى الإصدار 12.4.4 أو أحدث فوراً. طبق التحقق الصارم من التحكم في الوصول القائم على الأدوار على جميع نقاط النهاية. أجرِ تدقيق أمني شامل لـ objectDetail.php. راقب سجلات الوصول للكشف عن محاولات استخراج البيانات غير المصرح بها. قيد صلاحيات المستخدمين على مستوى الضيف.

📋 Regulatory Compliance Mapping

🟢 NCA ECC 2024

A.9.2.1 A.9.2.5 A.9.4.3

🔵 SAMA CSF

AC-2 AC-3 AC-6

🟡 ISO 27001:2022

A.9.2.1 A.9.2.5 A.9.4.3

🔗 References & Sources 4

🔗

https://damiri.fr/en/cves/CVE-2026-41464

disclosure@vulncheck.com

🔗

https://gryfman.fr/cves/CVE-2026-41464

disclosure@vulncheck.com

🔗

https://www.projeqtor.com

disclosure@vulncheck.com

🔗

https://www.vulncheck.com/advisories/projeqtor-missing-authorization-via-objectdetail-php

disclosure@vulncheck.com

📊 CVSS Score

6.5

/ 10.0 — Medium

📊 CVSS Vector

CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:N

Attack VectorN — None / Network

Attack ComplexityL — Low / Local

Privileges RequiredL — Low / Local

User InteractionN — None / Network

ScopeU — Unchanged

ConfidentialityH — High

IntegrityN — None / Network

AvailabilityN — None / Network

📋 Quick Facts

Severity Medium

CVSS Score6.5

CWECWE-862

EPSS0.06%

Exploit No

Patch ✗ No

Published 2026-04-27

Source Feed nvd

🇸🇦 Saudi Risk Score

7.0

/ 10.0 — Saudi Risk

Priority: HIGH

🏷️ Tags

CWE-862

⚡ Actions

🔗 NVD Official Page ⚡ Exploit-DB Search 🐙 GitHub PoC Search 🎯 MITRE ATT&CK 📊 CVE Details

💬 Comments

Loading comments

CVE-2026-41464

💬 Comments

Introduce Yourself

Sign In Required