Vulnerabilities ›

CVE-2026-41465

Medium

CWE-22 — Weakness Type

                    Published: Apr 27, 2026                      ·  Modified: Apr 30, 2026                      ·  Source: NVD                

CVSS v3

6.5

🔗 NVD Official

📄 Description (English)

ProjeQtor versions 7.0 through 12.4.3 contains a path traversal vulnerability in the log file viewer at dynamicDialog.php where the logname parameter is not validated against directory traversal sequences before constructing file paths. Authenticated attackers can inject directory traversal sequences ../ into the logname parameter to read arbitrary .log files accessible to the web server process on the filesystem.

🤖 AI Executive Summary

ProjeQtor versions 7.0-12.4.3 contain a path traversal vulnerability in dynamicDialog.php allowing authenticated attackers to read arbitrary log files via unvalidated logname parameters. This vulnerability enables unauthorized access to sensitive system and application logs accessible to the web server process.

📄 Description (Arabic)

تحتوي ثغرة عبور المسارات في ProjeQtor على معامل logname غير محقق من الصحة في ملف dynamicDialog.php. يمكن للمهاجمين المصرح لهم استخدام تسلسلات ../ للوصول إلى ملفات السجل التعسفية على النظام. قد يؤدي هذا إلى الكشف عن بيانات حساسة وكلمات مرور وتفاصيل النظام.

🤖 ملخص تنفيذي (AI)

إصدارات ProjeQtor من 7.0 إلى 12.4.3 تحتوي على ثغرة عبور المسارات في dynamicDialog.php تسمح للمهاجمين المصرح لهم بقراءة ملفات السجل التعسفية عبر معاملات logname غير المتحققة منها. تمكن هذه الثغرة من الوصول غير المصرح به إلى سجلات النظام والتطبيقات الحساسة.

🤖 AI Intelligence Analysis Analyzed: May 11, 2026 16:25

🇸🇦 Saudi Arabia Impact Assessment

Saudi Relevance: medium

🏢 Affected Saudi Sectors

government banking telecom energy healthcare

🎯 MITRE ATT&CK Techniques

T1083 T1552 T1021

⚖️ Saudi Risk Score (AI)

6.0

/ 10.0

🔧 Remediation Steps (English)

Upgrade ProjeQtor to version 12.4.4 or later immediately. Implement input validation for the logname parameter to reject directory traversal sequences. Apply principle of least privilege to web server process permissions. Monitor access logs for suspicious traversal attempts. Restrict file system access for the web server process to necessary directories only.

🔧 خطوات المعالجة (العربية)

قم بترقية ProjeQtor إلى الإصدار 12.4.4 أو أحدث فوراً. طبق التحقق من صحة المدخلات لمعامل logname لرفض تسلسلات عبور المسارات. طبق مبدأ الامتيازات الأقل على أذونات عملية خادم الويب. راقب سجلات الوصول للكشف عن محاولات الاجتياز المريبة. قيد الوصول إلى نظام الملفات لعملية خادم الويب على الدلائل الضرورية فقط.

📋 Regulatory Compliance Mapping

🟢 NCA ECC 2024

5.1.1 5.1.2 5.2.1

🔵 SAMA CSF

AC-3 AC-6 SI-10

🟡 ISO 27001:2022

A.6.1.2 A.14.2.1 A.14.2.5

🔗 References & Sources 4

🔗

https://damiri.fr/en/cves/CVE-2026-41465

disclosure@vulncheck.com

🔗

https://gryfman.fr/cves/CVE-2026-41465

disclosure@vulncheck.com

🔗

https://www.projeqtor.com

disclosure@vulncheck.com

🔗

https://www.vulncheck.com/advisories/projeqtor-path-traversal-via-dynamicdialog-php

disclosure@vulncheck.com

📊 CVSS Score

6.5

/ 10.0 — Medium

📊 CVSS Vector

CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:N

Attack VectorN — None / Network

Attack ComplexityL — Low / Local

Privileges RequiredL — Low / Local

User InteractionN — None / Network

ScopeU — Unchanged

ConfidentialityH — High

IntegrityN — None / Network

AvailabilityN — None / Network

📋 Quick Facts

Severity Medium

CVSS Score6.5

CWECWE-22

EPSS0.20%

Exploit No

Patch ✗ No

Published 2026-04-27

Source Feed nvd

🇸🇦 Saudi Risk Score

6.0

/ 10.0 — Saudi Risk

Priority: MEDIUM

🏷️ Tags

CWE-22

⚡ Actions

🔗 NVD Official Page ⚡ Exploit-DB Search 🐙 GitHub PoC Search 🎯 MITRE ATT&CK 📊 CVE Details

CVE-2026-41465

Introduce Yourself

Sign In Required