الثغرات ›

CVE-2026-4505

متوسط

CWE-284 — نوع الضعف

                    نُشر: Mar 20, 2026                      ·  آخر تحديث: Mar 23, 2026                      ·  المصدر: NVD                

CVSS v3

6.3

🔗 NVD الرسمي

📄 الوصف (الإنجليزية)

A vulnerability has been found in eosphoros-ai DB-GPT up to 0.7.5. This issue affects the function module_plugin.refresh_plugins of the file packages/dbgpt-serve/src/dbgpt_serve/agent/hub/controller.py of the component FastAPI Endpoint. Such manipulation leads to unrestricted upload. It is possible to launch the attack remotely. The exploit has been disclosed to the public and may be used. The vendor was contacted early about this disclosure but did not respond in any way.

🤖 ملخص AI

DB-GPT versions up to 0.7.5 contain an unrestricted file upload vulnerability in the plugin refresh endpoint that allows remote attackers to upload arbitrary files. This vulnerability affects the FastAPI endpoint responsible for plugin management and could lead to unauthorized code execution.

📄 الوصف (العربية)

تؤثر هذه الثغرة على وحدة module_plugin.refresh_plugins في ملف controller.py وتسمح بتحميل ملفات عشوائية دون قيود. تم الكشف عن الثغرة علناً والاستغلال متاح للجمهور، مما يزيد من خطر الهجمات الفعلية. لم يستجب البائع للإشعارات المبكرة بشأن هذه الثغرة.

🤖 ملخص تنفيذي (AI)

DB-GPT إصدارات تصل إلى 0.7.5 تحتوي على ثغرة تحميل ملفات غير مقيدة في نقطة نهاية تحديث المكونات الإضافية التي تسمح للمهاجمين البعيدين بتحميل ملفات عشوائية. قد تؤدي هذه الثغرة إلى تنفيذ كود غير مصرح به على الأنظمة المتأثرة.

🤖 التحليل الذكي آخر تحليل: May 17, 2026 00:19

🇸🇦 التأثير على المملكة العربية السعودية

Saudi Relevance: high

🏢 القطاعات السعودية المتأثرة

banking telecom energy government healthcare

🎯 تقنيات MITRE ATT&CK

T1190 T1433 T1040

⚖️ درجة المخاطر السعودية (AI)

7.0

/ 10.0

🔧 Remediation Steps (English)

Upgrade DB-GPT to version 0.7.6 or later immediately. Implement network-level access controls to restrict access to the plugin refresh endpoint. Apply input validation and file type restrictions on the FastAPI endpoint. Monitor for suspicious file uploads and implement Web Application Firewall (WAF) rules to block unauthorized plugin uploads.

🔧 خطوات المعالجة (العربية)

قم بترقية DB-GPT إلى الإصدار 0.7.6 أو أحدث فوراً. طبق عناصر تحكم الوصول على مستوى الشبكة لتقييد الوصول إلى نقطة نهاية تحديث المكونات الإضافية. طبق التحقق من صحة المدخلات وقيود نوع الملف على نقطة نهاية FastAPI. راقب عمليات التحميل المريبة وطبق قواعد جدار الحماية لتطبيقات الويب لحظر تحميل المكونات الإضافية غير المصرح بها.

📋 خريطة الامتثال التنظيمي

🟢 NCA ECC 2024

6.1.1 6.1.2 6.2.1

🔵 SAMA CSF

CC-6.1 CC-6.2 CC-7.2

🟡 ISO 27001:2022

A.12.2.1 A.14.2.1 A.14.2.5

🔗 المراجع والمصادر 4

🔗

https://github.com/Ka7arotto/cve/blob/main/DB-gpt-uploadrce.md

cna@vuldb.com

🔗

https://vuldb.com/?ctiid.352071

cna@vuldb.com

🔗

https://vuldb.com/?id.352071

cna@vuldb.com

🔗

https://vuldb.com/?submit.773897

cna@vuldb.com

📊 CVSS Score

6.3

/ 10.0 — متوسط

📊 CVSS Vector

CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:L/A:L

Attack VectorN — None / Network

Attack ComplexityL — Low / Local

Privileges RequiredL — Low / Local

User InteractionN — None / Network

ScopeU — Unchanged

ConfidentialityL — Low / Local

IntegrityL — Low / Local

AvailabilityL — Low / Local

📋 حقائق سريعة

الخطورة متوسط

CVSS Score6.3

CWECWE-284

اختراق متاح لا

تصحيح متاح ✗ لا

تاريخ النشر 2026-03-20

المصدر nvd

المشاهدات 6

🇸🇦 درجة المخاطر السعودية

7.0

/ 10.0 — مخاطر السعودية

أولوية: HIGH

🏷️ الوسوم

CWE-284

⚡ إجراءات

🔗 NVD Official Page ⚡ Exploit-DB Search 🐙 GitHub PoC Search 🎯 MITRE ATT&CK 📊 CVE Details

CVE-2026-4505

عرّفنا بنفسك

تسجيل الدخول مطلوب