الثغرات ›

CVE-2026-43983

مرتفع ⚡ اختراق متاح

CWE-285 — نوع الضعف

                    نُشر: May 12, 2026                      ·  آخر تحديث: May 19, 2026                      ·  المصدر: NVD                

CVSS v3

8.1

🔗 NVD الرسمي

📄 الوصف (الإنجليزية)

Pocket ID is an OIDC provider that allows users to authenticate with their passkeys to your services. Prior to 2.6.0, The createTokenFromRefreshToken function (oidc_service.go) validates the refresh token's cryptographic integrity but does not re-validate the user's current authorization state before issuing new tokens. This allows (1) the client to refresh the token indefinitely after authorization revocation, (2) the refresh token to continue to work after the account is disabled, and (3) the token to work after the client is removed from the group. This vulnerability is fixed in 2.6.0.

🤖 ملخص AI

Pocket ID OIDC provider fails to re-validate user authorization state when issuing tokens from refresh tokens, allowing continued access after authorization revocation, account disabling, or client removal. This vulnerability affects versions prior to 2.6.0 and is resolved in version 2.6.0.

📄 الوصف (العربية)

يفشل تطبيق Pocket ID في إعادة التحقق من حالة التفويض الحالية للمستخدم عند إصدار رموز جديدة من رموز التحديث. يسمح هذا الخلل بثلاث حالات هجوم: استمرار تحديث الرموز بعد إلغاء التفويض، واستمرار عمل الرموز بعد تعطيل الحساب، والوصول المستمر بعد إزالة العميل من المجموعة.

🤖 ملخص تنفيذي (AI)

خادم Pocket ID للمصادقة لا يعيد التحقق من حالة تفويض المستخدم عند إصدار رموز من رموز التحديث، مما يسمح بالوصول المستمر بعد إلغاء التفويض أو تعطيل الحساب أو إزالة العميل. يؤثر هذا على الإصدارات السابقة للإصدار 2.6.0.

🤖 التحليل الذكي آخر تحليل: May 15, 2026 12:36

🇸🇦 التأثير على المملكة العربية السعودية

Saudi Relevance: high

🏢 القطاعات السعودية المتأثرة

banking government telecom healthcare

🎯 تقنيات MITRE ATT&CK

T1110 T1556 T1528

⚖️ درجة المخاطر السعودية (AI)

8.0

/ 10.0

🔧 Remediation Steps (English)

Upgrade Pocket ID to version 2.6.0 or later immediately. Implement server-side validation to re-check user authorization state, account status, and client group membership before issuing new tokens from refresh tokens. Conduct security audit of all active refresh tokens and revoke those associated with disabled accounts or removed clients.

🔧 خطوات المعالجة (العربية)

قم بترقية Pocket ID إلى الإصدار 2.6.0 أو أحدث فوراً. طبق التحقق من جانب الخادم لإعادة فحص حالة تفويض المستخدم وحالة الحساب وعضوية مجموعة العميل قبل إصدار رموز جديدة. أجرِ تدقيقاً أمنياً لجميع رموز التحديث النشطة وأبطل تلك المرتبطة بالحسابات المعطلة أو العملاء المحذوفين.

📋 خريطة الامتثال التنظيمي

🟢 NCA ECC 2024

5.1.1 5.1.2 5.2.1

🔵 SAMA CSF

AC-3 AC-4 IA-4

🟡 ISO 27001:2022

A.9.1.1 A.9.2.1 A.9.2.5

🔗 المراجع والمصادر 2

🔗

https://github.com/pocket-id/pocket-id/security/advisories/GHSA-w6p7-2fxx-4f44

security-advisories@github.com

Exploit Mitigation Vendor Advisory

🔗

https://github.com/pocket-id/pocket-id/security/advisories/GHSA-w6p7-2fxx-4f44

134c704f-9b21-4f2e-91b3-4a467353bcc0

Exploit Mitigation Vendor Advisory

📦 المنتجات المتأثرة 1 منتج

pocket-id:pocket_id

📊 CVSS Score

8.1

/ 10.0 — مرتفع

📊 CVSS Vector

CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:N

Attack VectorN — None / Network

Attack ComplexityL — Low / Local

Privileges RequiredL — Low / Local

User InteractionN — None / Network

ScopeU — Unchanged

ConfidentialityH — High

IntegrityH — High

AvailabilityN — None / Network

📋 حقائق سريعة

الخطورة مرتفع

CVSS Score8.1

CWECWE-285

EPSS0.03%

اختراق متاح ✓ نعم

تصحيح متاح ✗ لا

تاريخ النشر 2026-05-12

المصدر nvd

المشاهدات 2

🇸🇦 درجة المخاطر السعودية

8.0

/ 10.0 — مخاطر السعودية

أولوية: HIGH

🏷️ الوسوم

exploit-available CWE-285

🏢 توجيهات البائع

🔗 https://github.com/pocket-id/pocket-id/security/advi... 🔗 https://github.com/pocket-id/pocket-id/security/advi...

⚡ إجراءات

🔗 NVD Official Page ⚡ Exploit-DB Search 🐙 GitHub PoC Search 🎯 MITRE ATT&CK 📊 CVE Details

CVE-2026-43983

عرّفنا بنفسك

تسجيل الدخول مطلوب