Vulnerabilities ›

CVE-2026-41466

Medium

CWE-79 — Weakness Type

                    Published: Apr 27, 2026                      ·  Modified: Apr 30, 2026                      ·  Source: NVD                

CVSS v3

5.4

🔗 NVD Official

📄 Description (English)

ProjeQtor versions 7.0 through 12.4.3 contain a stored cross-site scripting vulnerability in the checkValidHtmlText() function within Security.php that fails to properly sanitize user input by only detecting specific patterns while returning unsanitized strings without output encoding. Attackers can inject malicious payloads that bypass the filter using alternative syntax such as img tags with event handlers, which are stored and executed in the browsers of users viewing the affected content.

🤖 AI Executive Summary

ProjeQtor versions 7.0-12.4.3 contain a stored XSS vulnerability in the checkValidHtmlText() function that fails to properly sanitize user input, allowing attackers to inject malicious scripts. The vulnerability affects the Security.php file and can be exploited using alternative HTML syntax like img tags with event handlers that bypass the filter.

📄 Description (Arabic)

تحتوي ثغرة CVE-2026-41466 على فشل في تنظيف المدخلات في دالة checkValidHtmlText() بملف Security.php حيث تكتشف الدالة أنماطاً محددة فقط وتعيد سلاسل غير منظفة بدون ترميز الإخراج. يمكن للمهاجمين استخدام بناء جملة بديل مثل علامات img مع معالجات الأحداث لتجاوز الفلتر وحقن برامج ضارة يتم تخزينها وتنفيذها في متصفحات المستخدمين.

🤖 ملخص تنفيذي (AI)

إصدارات ProjeQtor من 7.0 إلى 12.4.3 تحتوي على ثغرة XSS مخزنة في دالة checkValidHtmlText() التي تفشل في تنظيف مدخلات المستخدم بشكل صحيح. يمكن للمهاجمين حقن برامج ضارة باستخدام بناء جملة HTML بديل مثل علامات img مع معالجات الأحداث التي تتجاوز الفلتر.

🤖 AI Intelligence Analysis Analyzed: May 28, 2026 06:33

🇸🇦 Saudi Arabia Impact Assessment

Saudi Relevance: high

🏢 Affected Saudi Sectors

government banking telecom energy healthcare

🎯 MITRE ATT&CK Techniques

T1190 T1598 T1566

⚖️ Saudi Risk Score (AI)

6.0

/ 10.0

🔧 Remediation Steps (English)

Upgrade ProjeQtor to version 12.4.4 or later immediately. Implement proper output encoding for all user-supplied content using context-appropriate encoding methods. Apply input validation using a whitelist approach for allowed HTML tags and attributes. Deploy Web Application Firewall (WAF) rules to detect and block XSS payloads. Conduct security code review of the checkValidHtmlText() function and similar sanitization functions.

🔧 خطوات المعالجة (العربية)

قم بترقية ProjeQtor إلى الإصدار 12.4.4 أو أحدث فوراً. طبق ترميز الإخراج المناسب لجميع محتويات المستخدم باستخدام طرق ترميز مناسبة للسياق. طبق التحقق من المدخلات باستخدام نهج القائمة البيضاء للعلامات والسمات المسموحة. نشر قواعد جدار الحماية لتطبيقات الويب لكشف وحجب حمولات XSS. أجر مراجعة أمان الكود للدالة checkValidHtmlText() والدوال المماثلة.

📋 Regulatory Compliance Mapping

🟢 NCA ECC 2024

5.1.1 5.1.2 5.2.1

🔵 SAMA CSF

CC-6.1 CC-6.2

🟡 ISO 27001:2022

A.14.2.1 A.14.2.5

🔗 References & Sources 4

🔗

https://damiri.fr/en/cves/CVE-2026-41466

disclosure@vulncheck.com

🔗

https://gryfman.fr/cves/CVE-2026-41466

disclosure@vulncheck.com

🔗

https://www.projeqtor.com

disclosure@vulncheck.com

🔗

https://www.vulncheck.com/advisories/projeqtor-stored-xss-via-checkvalidhtmltext

disclosure@vulncheck.com

📊 CVSS Score

5.4

/ 10.0 — Medium

📊 CVSS Vector

CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N

Attack VectorN — None / Network

Attack ComplexityL — Low / Local

Privileges RequiredL — Low / Local

User InteractionR — Required

ScopeC — Changed

ConfidentialityL — Low / Local

IntegrityL — Low / Local

AvailabilityN — None / Network

📋 Quick Facts

Severity Medium

CVSS Score5.4

CWECWE-79

EPSS0.03%

Exploit No

Patch ✗ No

Published 2026-04-27

Source Feed nvd

🇸🇦 Saudi Risk Score

6.0

/ 10.0 — Saudi Risk

Priority: MEDIUM

🏷️ Tags

CWE-79

⚡ Actions

🔗 NVD Official Page ⚡ Exploit-DB Search 🐙 GitHub PoC Search 🎯 MITRE ATT&CK 📊 CVE Details

CVE-2026-41466

Introduce Yourself

Sign In Required