الثغرات ›

CVE-2026-41466

متوسط

CWE-79 — نوع الضعف

                    نُشر: Apr 27, 2026                      ·  آخر تحديث: Apr 30, 2026                      ·  المصدر: NVD                

CVSS v3

5.4

🔗 NVD الرسمي

📄 الوصف (الإنجليزية)

ProjeQtor versions 7.0 through 12.4.3 contain a stored cross-site scripting vulnerability in the checkValidHtmlText() function within Security.php that fails to properly sanitize user input by only detecting specific patterns while returning unsanitized strings without output encoding. Attackers can inject malicious payloads that bypass the filter using alternative syntax such as img tags with event handlers, which are stored and executed in the browsers of users viewing the affected content.

🤖 ملخص AI

ProjeQtor versions 7.0-12.4.3 contain a stored XSS vulnerability in the checkValidHtmlText() function that fails to properly sanitize user input, allowing attackers to inject malicious scripts. The vulnerability affects the Security.php file and can be exploited using alternative HTML syntax like img tags with event handlers that bypass the filter.

📄 الوصف (العربية)

تحتوي ثغرة CVE-2026-41466 على فشل في تنظيف المدخلات في دالة checkValidHtmlText() بملف Security.php حيث تكتشف الدالة أنماطاً محددة فقط وتعيد سلاسل غير منظفة بدون ترميز الإخراج. يمكن للمهاجمين استخدام بناء جملة بديل مثل علامات img مع معالجات الأحداث لتجاوز الفلتر وحقن برامج ضارة يتم تخزينها وتنفيذها في متصفحات المستخدمين.

🤖 ملخص تنفيذي (AI)

إصدارات ProjeQtor من 7.0 إلى 12.4.3 تحتوي على ثغرة XSS مخزنة في دالة checkValidHtmlText() التي تفشل في تنظيف مدخلات المستخدم بشكل صحيح. يمكن للمهاجمين حقن برامج ضارة باستخدام بناء جملة HTML بديل مثل علامات img مع معالجات الأحداث التي تتجاوز الفلتر.

🤖 التحليل الذكي آخر تحليل: May 28, 2026 06:33

🇸🇦 التأثير على المملكة العربية السعودية

Saudi Relevance: high

🏢 القطاعات السعودية المتأثرة

government banking telecom energy healthcare

🎯 تقنيات MITRE ATT&CK

T1190 T1598 T1566

⚖️ درجة المخاطر السعودية (AI)

6.0

/ 10.0

🔧 Remediation Steps (English)

Upgrade ProjeQtor to version 12.4.4 or later immediately. Implement proper output encoding for all user-supplied content using context-appropriate encoding methods. Apply input validation using a whitelist approach for allowed HTML tags and attributes. Deploy Web Application Firewall (WAF) rules to detect and block XSS payloads. Conduct security code review of the checkValidHtmlText() function and similar sanitization functions.

🔧 خطوات المعالجة (العربية)

قم بترقية ProjeQtor إلى الإصدار 12.4.4 أو أحدث فوراً. طبق ترميز الإخراج المناسب لجميع محتويات المستخدم باستخدام طرق ترميز مناسبة للسياق. طبق التحقق من المدخلات باستخدام نهج القائمة البيضاء للعلامات والسمات المسموحة. نشر قواعد جدار الحماية لتطبيقات الويب لكشف وحجب حمولات XSS. أجر مراجعة أمان الكود للدالة checkValidHtmlText() والدوال المماثلة.

📋 خريطة الامتثال التنظيمي

🟢 NCA ECC 2024

5.1.1 5.1.2 5.2.1

🔵 SAMA CSF

CC-6.1 CC-6.2

🟡 ISO 27001:2022

A.14.2.1 A.14.2.5

🔗 المراجع والمصادر 4

🔗

https://damiri.fr/en/cves/CVE-2026-41466

disclosure@vulncheck.com

🔗

https://gryfman.fr/cves/CVE-2026-41466

disclosure@vulncheck.com

🔗

https://www.projeqtor.com

disclosure@vulncheck.com

🔗

https://www.vulncheck.com/advisories/projeqtor-stored-xss-via-checkvalidhtmltext

disclosure@vulncheck.com

📊 CVSS Score

5.4

/ 10.0 — متوسط

📊 CVSS Vector

CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N

Attack VectorN — None / Network

Attack ComplexityL — Low / Local

Privileges RequiredL — Low / Local

User InteractionR — Required

ScopeC — Changed

ConfidentialityL — Low / Local

IntegrityL — Low / Local

AvailabilityN — None / Network

📋 حقائق سريعة

الخطورة متوسط

CVSS Score5.4

CWECWE-79

EPSS0.03%

اختراق متاح لا

تصحيح متاح ✗ لا

تاريخ النشر 2026-04-27

المصدر nvd

المشاهدات 2

🇸🇦 درجة المخاطر السعودية

6.0

/ 10.0 — مخاطر السعودية

أولوية: MEDIUM

🏷️ الوسوم

CWE-79

⚡ إجراءات

🔗 NVD Official Page ⚡ Exploit-DB Search 🐙 GitHub PoC Search 🎯 MITRE ATT&CK 📊 CVE Details

CVE-2026-41466

عرّفنا بنفسك

تسجيل الدخول مطلوب