الثغرات ›

CVE-2026-45231

متوسط

CWE-79 — نوع الضعف

                    نُشر: May 18, 2026                      ·  آخر تحديث: May 21, 2026                      ·  المصدر: NVD                

CVSS v3

6.1

🔗 NVD الرسمي

📄 الوصف (الإنجليزية)

DumbAssets through 1.0.11 contains a stored cross-site scripting vulnerability in asset fields including name, description, modelNumber, serialNumber, and tags that are stored without server-side sanitization and rendered using innerHTML without client-side escaping. Attackers can create or update assets with HTML or JavaScript payloads via the asset API endpoints to execute arbitrary scripts in the browsers of users viewing the asset list, and with Content-Security-Policy disabled, the injected scripts can make unrestricted connections to internal network services.

🤖 ملخص AI

DumbAssets versions up to 1.0.11 contain stored XSS vulnerabilities in asset fields (name, description, modelNumber, serialNumber, tags) due to missing server-side sanitization and client-side escaping. Attackers can inject malicious scripts through API endpoints to compromise user browsers and potentially access internal network services when CSP is disabled.

📄 الوصف (العربية)

يعاني تطبيق إدارة الأصول DumbAssets من ثغرة XSS مخزنة حرجة في حقول متعددة تشمل الاسم والوصف ورقم الموديل والرقم التسلسلي والعلامات. يمكن للمهاجمين استغلال نقاط نهاية API لحقن محتوى ضار يتم تنفيذه في متصفحات المستخدمين، مما قد يؤدي إلى سرقة البيانات والوصول غير المصرح به إلى الخدمات الداخلية.

🤖 ملخص تنفيذي (AI)

تطبيق DumbAssets الإصدارات حتى 1.0.11 يحتوي على ثغرات XSS مخزنة في حقول الأصول بسبب غياب التطهير من جانب الخادم والهروب من جانب العميل. يمكن للمهاجمين حقن برامج نصية ضارة عبر نقاط نهاية API لتعريض متصفحات المستخدمين والوصول المحتمل إلى الخدمات الداخلية.

🤖 التحليل الذكي آخر تحليل: May 23, 2026 08:48

🇸🇦 التأثير على المملكة العربية السعودية

Saudi Relevance: high

🏢 القطاعات السعودية المتأثرة

government banking telecom energy healthcare

🎯 تقنيات MITRE ATT&CK

T1190 T1566 T1204.001

⚖️ درجة المخاطر السعودية (AI)

7.0

/ 10.0

🔧 Remediation Steps (English)

Upgrade DumbAssets to version 1.0.12 or later immediately. Implement server-side input validation and sanitization for all asset fields using established libraries. Apply output encoding/escaping on client-side rendering. Enable and enforce Content-Security-Policy headers. Conduct security code review of asset API endpoints. Implement input validation whitelisting for asset names, descriptions, and tags.

🔧 خطوات المعالجة (العربية)

قم بترقية DumbAssets إلى الإصدار 1.0.12 أو أحدث فوراً. قم بتنفيذ التحقق من صحة المدخلات من جانب الخادم وتطهيرها لجميع حقول الأصول باستخدام المكتبات المعروفة. طبق ترميز الإخراج والهروب على عرض جانب العميل. فعّل وفرض رؤوس سياسة أمان المحتوى. أجرِ مراجعة أمان الكود لنقاط نهاية API للأصول. طبق التحقق من صحة المدخلات بقائمة بيضاء لأسماء الأصول والأوصاف والعلامات.

📋 خريطة الامتثال التنظيمي

🟢 NCA ECC 2024

5.1.1 5.1.2 5.2.1

🔵 SAMA CSF

CC-6.1 CC-6.2 CC-7.2

🟡 ISO 27001:2022

A.14.2.1 A.14.2.5

🔗 المراجع والمصادر 2

🔗

https://github.com/DumbWareio/DumbAssets/pull/135

disclosure@vulncheck.com

🔗

https://www.vulncheck.com/advisories/dumbassets-stored-cross-site-scripting-via-asset-f...

disclosure@vulncheck.com

📊 CVSS Score

6.1

/ 10.0 — متوسط

📊 CVSS Vector

CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N

Attack VectorN — None / Network

Attack ComplexityL — Low / Local

Privileges RequiredN — None / Network

User InteractionR — Required

ScopeC — Changed

ConfidentialityL — Low / Local

IntegrityL — Low / Local

AvailabilityN — None / Network

📋 حقائق سريعة

الخطورة متوسط

CVSS Score6.1

CWECWE-79

EPSS0.04%

اختراق متاح لا

تصحيح متاح ✗ لا

تاريخ النشر 2026-05-18

المصدر nvd

المشاهدات 2

🇸🇦 درجة المخاطر السعودية

7.0

/ 10.0 — مخاطر السعودية

أولوية: HIGH

🏷️ الوسوم

CWE-79

⚡ إجراءات

🔗 NVD Official Page ⚡ Exploit-DB Search 🐙 GitHub PoC Search 🎯 MITRE ATT&CK 📊 CVE Details

CVE-2026-45231

عرّفنا بنفسك

تسجيل الدخول مطلوب