Vulnerabilities ›

CVE-2026-6489

Medium

CWE-284 — Weakness Type

                    Published: Apr 17, 2026                      ·  Modified: Apr 20, 2026                      ·  Source: NVD                

CVSS v3

6.3

🔗 NVD Official

📄 Description (English)

A security flaw has been discovered in QueryMine sms up to 7ab5a9ea196209611134525ffc18de25c57d9593. This issue affects some unknown processing of the file admin/addteacher.php of the component Background Management Page. The manipulation of the argument image results in unrestricted upload. The attack can be launched remotely. The exploit has been released to the public and may be used for attacks. This product does not use versioning. This is why information about affected and unaffected releases are unavailable. The vendor was contacted early about this disclosure but did not respond in any way.

🤖 AI Executive Summary

QueryMine SMS contains an unrestricted file upload vulnerability in the admin/addteacher.php component that allows remote attackers to upload arbitrary files via the image parameter. This vulnerability affects versions up to commit 7ab5a9ea196209611134525ffc18de25c57d9593 and has been publicly disclosed with active exploits available.

📄 Description (Arabic)

تحتوي ثغرة CWE-284 على فشل في التحكم في الوصول في مكون إدارة الخلفية لـ QueryMine SMS. يسمح المعامل image غير المحمي بتحميل ملفات عشوائية قد تشمل أكواد خبيثة أو أصداف ويب. الثغرة قابلة للاستغلال عن بعد وتم نشر استغلالات عملية لها.

🤖 ملخص تنفيذي (AI)

تم اكتشاف ثغرة تحميل ملفات غير مقيدة في QueryMine SMS في مكون admin/addteacher.php تسمح للمهاجمين بتحميل ملفات عشوائية عبر معامل الصورة. تؤثر هذه الثغرة على الإصدارات حتى الالتزام المحدد وتم الكشف عنها علناً مع توفر استغلالات نشطة.

🤖 AI Intelligence Analysis Analyzed: May 19, 2026 07:07

🇸🇦 Saudi Arabia Impact Assessment

Saudi Relevance: high

🏢 Affected Saudi Sectors

government education telecom

🎯 MITRE ATT&CK Techniques

T1190 T1434 T1505

⚖️ Saudi Risk Score (AI)

7.0

/ 10.0

🔧 Remediation Steps (English)

Immediately update QueryMine SMS to a patched version beyond commit 7ab5a9ea196209611134525ffc18de25c57d9593. Implement strict file upload validation including file type whitelist, size limits, and storage outside web root. Apply input validation and sanitization to the image parameter. Deploy Web Application Firewall (WAF) rules to block suspicious file uploads. Conduct security audit of all file upload functionality.

🔧 خطوات المعالجة (العربية)

قم بتحديث QueryMine SMS فوراً إلى إصدار مصحح يتجاوز الالتزام المحدد. طبق التحقق الصارم من تحميل الملفات بما في ذلك قائمة بيضاء لنوع الملف وحدود الحجم والتخزين خارج جذر الويب. طبق التحقق من الإدخال والتنظيف على معامل الصورة. نشر قواعد جدار حماية تطبيقات الويب لحظر التحميلات المريبة. أجرِ تدقيق أمني لجميع وظائف تحميل الملفات.

📋 Regulatory Compliance Mapping

🟢 NCA ECC 2024

A.14.2.1 A.14.2.5

🔵 SAMA CSF

CC-6.1 CC-6.2 CC-7.2

🟡 ISO 27001:2022

A.14.2.1 A.14.2.5 A.12.4.1

🔗 References & Sources 4

🔗

https://github.com/duckpigdog/CVE/blob/main/QueryMine_sms%20PHP%20Project%20Deployment%...

cna@vuldb.com

🔗

https://vuldb.com/submit/786981

cna@vuldb.com

🔗

https://vuldb.com/vuln/358033

cna@vuldb.com

🔗

https://vuldb.com/vuln/358033/cti

cna@vuldb.com

📊 CVSS Score

6.3

/ 10.0 — Medium

📊 CVSS Vector

CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:L/A:L

Attack VectorN — None / Network

Attack ComplexityL — Low / Local

Privileges RequiredL — Low / Local

User InteractionN — None / Network

ScopeU — Unchanged

ConfidentialityL — Low / Local

IntegrityL — Low / Local

AvailabilityL — Low / Local

📋 Quick Facts

Severity Medium

CVSS Score6.3

CWECWE-284

EPSS0.01%

Exploit No

Patch ✗ No

Published 2026-04-17

Source Feed nvd

🇸🇦 Saudi Risk Score

7.0

/ 10.0 — Saudi Risk

Priority: HIGH

🏷️ Tags

CWE-284

⚡ Actions

🔗 NVD Official Page ⚡ Exploit-DB Search 🐙 GitHub PoC Search 🎯 MITRE ATT&CK 📊 CVE Details

💬 Comments

Loading comments

CVE-2026-6489

💬 Comments

Introduce Yourself

Sign In Required