Vulnerabilities ›

CVE-2026-45229

High

CWE-915 — Weakness Type

                    Published: May 13, 2026                      ·  Modified: May 20, 2026                      ·  Source: NVD                

CVSS v3

8.8

🔗 NVD Official

📄 Description (English)

Quark Drive before 0.8.5 contains a mass assignment vulnerability in the POST /update endpoint that allows authenticated attackers to overwrite administrator credentials by posting an arbitrary webui object to the config_data dictionary. Attackers can exploit insufficient deny-list filtering to permanently replace stored login credentials, lock out legitimate administrators, and gain persistent access to all configured tasks, cloud tokens, and notification services.

🤖 AI Executive Summary

Quark Drive versions before 0.8.5 contain a mass assignment vulnerability in the POST /update endpoint allowing authenticated attackers to overwrite administrator credentials. Attackers can exploit insufficient filtering to gain persistent access to all configured tasks, cloud tokens, and notification services.

📄 Description (Arabic)

تحتوي نقطة نهاية POST /update في Quark Drive على ثغرة إسناد جماعي تسمح للمستخدمين المصرح لهم بتجاوز آليات الحماية وإعادة كتابة بيانات اعتماد المسؤول. يمكن للمهاجمين استخدام هذه الثغرة لقفل المسؤولين الشرعيين والحصول على وصول دائم إلى جميع الخدمات والرموز المكونة. التصفية غير الكافية للمدخلات تجعل هذه الثغرة سهلة الاستغلال للمهاجمين الداخليين أو المهاجمين الذين لديهم وصول مصرح به.

🤖 ملخص تنفيذي (AI)

إصدارات Quark Drive السابقة للإصدار 0.8.5 تحتوي على ثغرة إسناد جماعي في نقطة نهاية POST /update تسمح للمهاجمين المصرح لهم بالكتابة فوق بيانات اعتماد المسؤول. يمكن للمهاجمين استغلال التصفية غير الكافية للوصول الدائم إلى جميع المهام المكونة والرموز السحابية وخدمات الإخطار.

🤖 AI Intelligence Analysis Analyzed: May 19, 2026 20:52

🇸🇦 Saudi Arabia Impact Assessment

Saudi Relevance: high

🏢 Affected Saudi Sectors

banking telecom energy government healthcare

🎯 MITRE ATT&CK Techniques

T1078.001 T1098.001 T1098.002 T1190 T1199

⚖️ Saudi Risk Score (AI)

9.0

/ 10.0

🔧 Remediation Steps (English)

Upgrade Quark Drive to version 0.8.5 or later immediately. Implement strict input validation and deny-list filtering on the POST /update endpoint. Review and rotate all administrator credentials. Audit access logs for unauthorized changes to webui configuration objects. Restrict API access to trusted networks and implement rate limiting on authentication endpoints.

🔧 خطوات المعالجة (العربية)

قم بترقية Quark Drive إلى الإصدار 0.8.5 أو أحدث فوراً. قم بتطبيق التحقق الصارم من المدخلات وتصفية قائمة الحظر على نقطة نهاية POST /update. راجع وأعد تعيين جميع بيانات اعتماد المسؤول. تدقيق سجلات الوصول للتغييرات غير المصرح بها على كائنات تكوين webui. قيد وصول API إلى الشبكات الموثوقة وطبق تحديد معدل على نقاط نهاية المصادقة.

📋 Regulatory Compliance Mapping

🟢 NCA ECC 2024

5.1.1 5.1.2 5.2.1 5.3.1

🔵 SAMA CSF

AC-2 AC-3 AC-6 SI-7

🟡 ISO 27001:2022

A.9.1.1 A.9.2.1 A.9.2.5 A.9.4.3

🔗 References & Sources 3

🔗

https://github.com/Cp0204/quark-auto-save/commit/ea8377a596446291953dbe36e2d119d85bcd865b

disclosure@vulncheck.com

🔗

https://github.com/Cp0204/quark-auto-save/releases/tag/v0.8.5

disclosure@vulncheck.com

🔗

https://www.vulncheck.com/advisories/quark-drive-mass-assignment-via-post-update

disclosure@vulncheck.com

📊 CVSS Score

8.8

/ 10.0 — High

📊 CVSS Vector

CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H

Attack VectorN — None / Network

Attack ComplexityL — Low / Local

Privileges RequiredL — Low / Local

User InteractionN — None / Network

ScopeU — Unchanged

ConfidentialityH — High

IntegrityH — High

AvailabilityH — High

📋 Quick Facts

Severity High

CVSS Score8.8

CWECWE-915

EPSS0.06%

Exploit No

Patch ✗ No

Published 2026-05-13

Source Feed nvd

🇸🇦 Saudi Risk Score

9.0

/ 10.0 — Saudi Risk

Priority: CRITICAL

🏷️ Tags

CWE-915

⚡ Actions

🔗 NVD Official Page ⚡ Exploit-DB Search 🐙 GitHub PoC Search 🎯 MITRE ATT&CK 📊 CVE Details

CVE-2026-45229

Introduce Yourself

Sign In Required