الثغرات ›

CVE-2026-47118

متوسط

CWE-22 — نوع الضعف

                    نُشر: May 27, 2026                      ·  آخر تحديث: May 30, 2026                      ·  المصدر: NVD                

CVSS v3

6.5

🔗 NVD الرسمي

📄 الوصف (الإنجليزية)

Agent Zero before version 1.15 contains a path traversal vulnerability that allows unauthenticated attackers to read arbitrary files by supplying crafted paths to the image file serving endpoint, which relies solely on an extension allowlist while the path containment check is explicitly disabled. Attackers can request any file with an image extension readable by the process, including files outside the agent workspace, user home directories, and mounted volumes, and can also leverage symlink-based escapes due to the lack of path canonicalization in the path resolution logic.

🤖 ملخص AI

Agent Zero before version 1.15 contains a path traversal vulnerability allowing unauthenticated attackers to read arbitrary files through crafted paths to the image serving endpoint. The vulnerability exploits a disabled path containment check and lack of path canonicalization, enabling access to sensitive files outside the intended workspace.

📄 الوصف (العربية)

ثغرة اجتياز المسار في Agent Zero تسمح للمهاجمين غير المصرح لهم بقراءة ملفات عشوائية من خلال توفير مسارات مصنوعة إلى نقطة نهاية خدمة الصور. تعتمد الثغرة على قائمة امتدادات بيضاء فقط مع تعطيل فحص احتواء المسار بشكل صريح، مما يسمح بالوصول إلى الملفات الحساسة في المجلدات المنزلية والأقراص المرفوعة.

🤖 ملخص تنفيذي (AI)

إصدارات Agent Zero السابقة للإصدار 1.15 تحتوي على ثغرة اجتياز المسار التي تسمح للمهاجمين غير المصرح لهم بقراءة ملفات عشوائية. تستغل الثغرة فحص احتواء المسار المعطل والافتقار إلى تطبيع المسار، مما يتيح الوصول إلى الملفات الحساسة خارج مساحة العمل المقصودة.

🤖 التحليل الذكي آخر تحليل: May 30, 2026 08:27

🇸🇦 التأثير على المملكة العربية السعودية

Saudi Relevance: high

🏢 القطاعات السعودية المتأثرة

banking telecom government healthcare

🎯 تقنيات MITRE ATT&CK

T1083 T1021 T1566

⚖️ درجة المخاطر السعودية (AI)

7.0

/ 10.0

🔧 Remediation Steps (English)

Immediately upgrade Agent Zero to version 1.15 or later. Implement strict input validation and path canonicalization for all file serving endpoints. Enable path containment checks and restrict file access to designated directories only. Apply principle of least privilege to process permissions and monitor file access logs for suspicious activity.

🔧 خطوات المعالجة (العربية)

قم بترقية Agent Zero فوراً إلى الإصدار 1.15 أو أحدث. طبق التحقق الصارم من المدخلات وتطبيع المسار لجميع نقاط خدمة الملفات. فعّل فحوصات احتواء المسار وقيّد الوصول إلى الملفات بالمجلدات المخصصة فقط. طبق مبدأ أقل صلاحية على أذونات العملية ومراقبة سجلات الوصول للملفات للنشاط المريب.

📋 خريطة الامتثال التنظيمي

🟢 NCA ECC 2024

5.1.1 5.1.2 5.2.1

🔵 SAMA CSF

AC-2 AC-3 AC-6

🟡 ISO 27001:2022

A.6.1.1 A.9.1.1 A.9.2.1 A.9.4.3

🔗 المراجع والمصادر 3

🔗

https://github.com/3clyp50/agent-zero/commit/1f2d5122265282d6b98bc36ee8f9d0f8ab76db9e

disclosure@vulncheck.com

🔗

https://github.com/agent0ai/agent-zero/issues/1609

disclosure@vulncheck.com

🔗

https://www.vulncheck.com/advisories/agent-zero-path-traversal-file-read-via-image-get-api

disclosure@vulncheck.com

📊 CVSS Score

6.5

/ 10.0 — متوسط

📊 CVSS Vector

CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:N/A:N

Attack VectorN — None / Network

Attack ComplexityL — Low / Local

Privileges RequiredN — None / Network

User InteractionR — Required

ScopeU — Unchanged

ConfidentialityH — High

IntegrityN — None / Network

AvailabilityN — None / Network

📋 حقائق سريعة

الخطورة متوسط

CVSS Score6.5

CWECWE-22

EPSS0.05%

اختراق متاح لا

تصحيح متاح ✗ لا

تاريخ النشر 2026-05-27

المصدر nvd

المشاهدات 2

🇸🇦 درجة المخاطر السعودية

7.0

/ 10.0 — مخاطر السعودية

أولوية: HIGH

🏷️ الوسوم

CWE-22

⚡ إجراءات

🔗 NVD Official Page ⚡ Exploit-DB Search 🐙 GitHub PoC Search 🎯 MITRE ATT&CK 📊 CVE Details

CVE-2026-47118

عرّفنا بنفسك

تسجيل الدخول مطلوب