Vulnerabilities ›

CVE-2026-6496

Medium

CWE-22 — Weakness Type

                    Published: Apr 17, 2026                      ·  Modified: Apr 20, 2026                      ·  Source: NVD                

CVSS v3

5.4

🔗 NVD Official

📄 Description (English)

A vulnerability was found in prasathmani TinyFileManager up to 2.6. Affected is an unknown function of the file /filemanager.php of the component POST Parameter Handler. The manipulation of the argument file[] results in path traversal. The attack may be performed from remote. The exploit has been made public and could be used. The vendor was contacted early about this disclosure but did not respond in any way.

🤖 AI Executive Summary

TinyFileManager versions up to 2.6 contain a path traversal vulnerability in the POST parameter handler that allows remote attackers to access files outside intended directories. The vulnerability affects the file[] parameter in filemanager.php and has public exploits available.

📄 Description (Arabic)

ثغرة اجتياز المسار في TinyFileManager تسمح للمهاجمين بالوصول إلى ملفات حساسة خارج الدليل المقصود من خلال معاملات POST المعدلة. يمكن استغلال هذه الثغرة عن بعد دون مصادقة وقد تم نشر استغلالات عامة لها. البائع لم يستجب لإشعارات الكشف المبكر.

🤖 ملخص تنفيذي (AI)

مدير الملفات الصغير (TinyFileManager) الإصدارات حتى 2.6 يحتوي على ثغرة اجتياز المسار في معالج معاملات POST تسمح للمهاجمين البعيدين بالوصول إلى الملفات خارج الدلائل المقصودة. تؤثر الثغرة على معامل file[] في filemanager.php وتتوفر لها استغلالات عامة.

🤖 AI Intelligence Analysis Analyzed: May 26, 2026 08:00

🇸🇦 Saudi Arabia Impact Assessment

Saudi Relevance: high

🏢 Affected Saudi Sectors

government banking telecom healthcare

🎯 MITRE ATT&CK Techniques

T1190 T1083 T1057 T1005

⚖️ Saudi Risk Score (AI)

7.0

/ 10.0

🔧 Remediation Steps (English)

Update TinyFileManager to version 2.7 or later immediately. Implement input validation and sanitization for all file parameters. Restrict file operations to designated directories using chroot or similar mechanisms. Apply principle of least privilege to file manager processes. Monitor POST requests for suspicious file[] parameters containing path traversal sequences like ../ or ..

🔧 خطوات المعالجة (العربية)

قم بتحديث TinyFileManager إلى الإصدار 2.7 أو أحدث فوراً. قم بتطبيق التحقق من صحة المدخلات وتنظيفها لجميع معاملات الملفات. قيد عمليات الملفات على الدلائل المخصصة باستخدام chroot أو آليات مماثلة. طبق مبدأ أقل صلاحية على عمليات مدير الملفات. راقب طلبات POST للبحث عن معاملات file[] المريبة التي تحتوي على تسلسلات اجتياز المسار مثل ../ أو ..

📋 Regulatory Compliance Mapping

🟢 NCA ECC 2024

A.1.1.1 A.1.2.1 A.2.1.1 A.2.2.1

🔵 SAMA CSF

ID.AM-2 PR.AC-1 PR.AC-3 DE.CM-1

🟡 ISO 27001:2022

A.6.1.1 A.12.2.1 A.13.1.1 A.14.1.1

🔗 References & Sources 4

🔗

https://drive.google.com/file/d/14taA8w3e5z3gl4WttpB4_CquwQdz1i6r/view?usp=sharing

cna@vuldb.com

🔗

https://vuldb.com/submit/787942

cna@vuldb.com

🔗

https://vuldb.com/vuln/358039

cna@vuldb.com

🔗

https://vuldb.com/vuln/358039/cti

cna@vuldb.com

📊 CVSS Score

5.4

/ 10.0 — Medium

📊 CVSS Vector

CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:L/A:L

Attack VectorN — None / Network

Attack ComplexityL — Low / Local

Privileges RequiredL — Low / Local

User InteractionN — None / Network

ScopeU — Unchanged

ConfidentialityN — None / Network

IntegrityL — Low / Local

AvailabilityL — Low / Local

📋 Quick Facts

Severity Medium

CVSS Score5.4

CWECWE-22

EPSS0.02%

Exploit No

Patch ✗ No

Published 2026-04-17

Source Feed nvd

🇸🇦 Saudi Risk Score

7.0

/ 10.0 — Saudi Risk

Priority: HIGH

🏷️ Tags

CWE-22

⚡ Actions

🔗 NVD Official Page ⚡ Exploit-DB Search 🐙 GitHub PoC Search 🎯 MITRE ATT&CK 📊 CVE Details

💬 Comments

Loading comments

CVE-2026-6496

💬 Comments

Introduce Yourself

Sign In Required