Vulnerabilities ›

CVE-2026-41928

Medium

CWE-497 — Weakness Type

                    Published: May 7, 2026                      ·  Modified: May 10, 2026                      ·  Source: NVD                

CVSS v3

5.3

🔗 NVD Official

📄 Description (English)

Vvveb before 1.0.8.2 contains an information disclosure vulnerability in the cron controller that allows unauthenticated attackers to retrieve the application's secret cron key. Attackers can access the cron controller without authentication and retrieve the exposed secret key from the response, enabling them to trigger scheduled task execution outside of the intended schedule.

🤖 AI Executive Summary

Vvveb before 1.0.8.2 has an information disclosure vulnerability in the cron controller allowing unauthenticated attackers to retrieve the application's secret cron key. This enables attackers to trigger scheduled tasks outside their intended schedule, potentially causing operational disruption.

📄 Description (Arabic)

تحتوي نسخ Vvveb السابقة للإصدار 1.0.8.2 على ثغرة في وحدة التحكم cron حيث يمكن للمهاجمين الوصول إليها دون مصادقة واسترجاع مفتاح cron السري من الاستجابة. يمكن للمهاجمين استخدام هذا المفتاح لتشغيل المهام المجدولة بشكل غير مصرح به وخارج الجدول الزمني المقصود.

🤖 ملخص تنفيذي (AI)

Vvveb قبل الإصدار 1.0.8.2 يحتوي على ثغرة كشف معلومات في وحدة التحكم cron تسمح للمهاجمين غير المصرح لهم باسترجاع مفتاح cron السري للتطبيق. هذا يمكن المهاجمين من تشغيل المهام المجدولة خارج الجدول الزمني المقصود.

🤖 AI Intelligence Analysis Analyzed: May 29, 2026 03:37

🇸🇦 Saudi Arabia Impact Assessment

Saudi Relevance: medium

🏢 Affected Saudi Sectors

government telecom

🎯 MITRE ATT&CK Techniques

T1078.001 T1526 T1552.007

⚖️ Saudi Risk Score (AI)

5.0

/ 10.0

🔧 Remediation Steps (English)

Upgrade Vvveb to version 1.0.8.2 or later immediately. Implement authentication controls on the cron controller endpoint. Rotate the cron secret key after patching. Monitor cron execution logs for unauthorized task triggers. Restrict access to cron endpoints via network-level controls.

🔧 خطوات المعالجة (العربية)

قم بترقية Vvveb إلى الإصدار 1.0.8.2 أو أحدث فوراً. تطبيق عناصر التحكم في المصادقة على نقطة نهاية وحدة التحكم cron. تدوير مفتاح سر cron بعد التصحيح. مراقبة سجلات تنفيذ cron للمهام غير المصرح بها. تقييد الوصول إلى نقاط نهاية cron عبر عناصر التحكم على مستوى الشبكة.

📋 Regulatory Compliance Mapping

🟢 NCA ECC 2024

5.1.1 5.1.2

🔵 SAMA CSF

AC-2 AC-3

🟡 ISO 27001:2022

A.9.2.1 A.9.4.3

🔗 References & Sources 2

🔗

https://github.com/givanz/Vvveb/commit/517bc09faf44136e72de391aacc8b90a706f7ae7

disclosure@vulncheck.com

🔗

https://www.vulncheck.com/advisories/vvveb-information-disclosure-via-cron-controller

disclosure@vulncheck.com

📊 CVSS Score

5.3

/ 10.0 — Medium

📊 CVSS Vector

CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:N

Attack VectorN — None / Network

Attack ComplexityL — Low / Local

Privileges RequiredN — None / Network

User InteractionN — None / Network

ScopeU — Unchanged

ConfidentialityL — Low / Local

IntegrityN — None / Network

AvailabilityN — None / Network

📋 Quick Facts

Severity Medium

CVSS Score5.3

CWECWE-497

EPSS0.11%

Exploit No

Patch ✗ No

Published 2026-05-07

Source Feed nvd

🇸🇦 Saudi Risk Score

5.0

/ 10.0 — Saudi Risk

Priority: MEDIUM

🏷️ Tags

CWE-497

⚡ Actions

🔗 NVD Official Page ⚡ Exploit-DB Search 🐙 GitHub PoC Search 🎯 MITRE ATT&CK 📊 CVE Details

CVE-2026-41928

Introduce Yourself

Sign In Required