الثغرات ›

CVE-2026-41928

متوسط

CWE-497 — نوع الضعف

                    نُشر: May 7, 2026                      ·  آخر تحديث: May 10, 2026                      ·  المصدر: NVD                

CVSS v3

5.3

🔗 NVD الرسمي

📄 الوصف (الإنجليزية)

Vvveb before 1.0.8.2 contains an information disclosure vulnerability in the cron controller that allows unauthenticated attackers to retrieve the application's secret cron key. Attackers can access the cron controller without authentication and retrieve the exposed secret key from the response, enabling them to trigger scheduled task execution outside of the intended schedule.

🤖 ملخص AI

Vvveb before 1.0.8.2 has an information disclosure vulnerability in the cron controller allowing unauthenticated attackers to retrieve the application's secret cron key. This enables attackers to trigger scheduled tasks outside their intended schedule, potentially causing operational disruption.

📄 الوصف (العربية)

تحتوي نسخ Vvveb السابقة للإصدار 1.0.8.2 على ثغرة في وحدة التحكم cron حيث يمكن للمهاجمين الوصول إليها دون مصادقة واسترجاع مفتاح cron السري من الاستجابة. يمكن للمهاجمين استخدام هذا المفتاح لتشغيل المهام المجدولة بشكل غير مصرح به وخارج الجدول الزمني المقصود.

🤖 ملخص تنفيذي (AI)

Vvveb قبل الإصدار 1.0.8.2 يحتوي على ثغرة كشف معلومات في وحدة التحكم cron تسمح للمهاجمين غير المصرح لهم باسترجاع مفتاح cron السري للتطبيق. هذا يمكن المهاجمين من تشغيل المهام المجدولة خارج الجدول الزمني المقصود.

🤖 التحليل الذكي آخر تحليل: May 29, 2026 03:37

🇸🇦 التأثير على المملكة العربية السعودية

Saudi Relevance: medium

🏢 القطاعات السعودية المتأثرة

government telecom

🎯 تقنيات MITRE ATT&CK

T1078.001 T1526 T1552.007

⚖️ درجة المخاطر السعودية (AI)

5.0

/ 10.0

🔧 Remediation Steps (English)

Upgrade Vvveb to version 1.0.8.2 or later immediately. Implement authentication controls on the cron controller endpoint. Rotate the cron secret key after patching. Monitor cron execution logs for unauthorized task triggers. Restrict access to cron endpoints via network-level controls.

🔧 خطوات المعالجة (العربية)

قم بترقية Vvveb إلى الإصدار 1.0.8.2 أو أحدث فوراً. تطبيق عناصر التحكم في المصادقة على نقطة نهاية وحدة التحكم cron. تدوير مفتاح سر cron بعد التصحيح. مراقبة سجلات تنفيذ cron للمهام غير المصرح بها. تقييد الوصول إلى نقاط نهاية cron عبر عناصر التحكم على مستوى الشبكة.

📋 خريطة الامتثال التنظيمي

🟢 NCA ECC 2024

5.1.1 5.1.2

🔵 SAMA CSF

AC-2 AC-3

🟡 ISO 27001:2022

A.9.2.1 A.9.4.3

🔗 المراجع والمصادر 2

🔗

https://github.com/givanz/Vvveb/commit/517bc09faf44136e72de391aacc8b90a706f7ae7

disclosure@vulncheck.com

🔗

https://www.vulncheck.com/advisories/vvveb-information-disclosure-via-cron-controller

disclosure@vulncheck.com

📊 CVSS Score

5.3

/ 10.0 — متوسط

📊 CVSS Vector

CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:N

Attack VectorN — None / Network

Attack ComplexityL — Low / Local

Privileges RequiredN — None / Network

User InteractionN — None / Network

ScopeU — Unchanged

ConfidentialityL — Low / Local

IntegrityN — None / Network

AvailabilityN — None / Network

📋 حقائق سريعة

الخطورة متوسط

CVSS Score5.3

CWECWE-497

EPSS0.11%

اختراق متاح لا

تصحيح متاح ✗ لا

تاريخ النشر 2026-05-07

المصدر nvd

المشاهدات 2

🇸🇦 درجة المخاطر السعودية

5.0

/ 10.0 — مخاطر السعودية

أولوية: MEDIUM

🏷️ الوسوم

CWE-497

⚡ إجراءات

🔗 NVD Official Page ⚡ Exploit-DB Search 🐙 GitHub PoC Search 🎯 MITRE ATT&CK 📊 CVE Details

CVE-2026-41928

عرّفنا بنفسك

تسجيل الدخول مطلوب