Vulnerabilities ›

CVE-2026-6614

Medium

CWE-285 — Weakness Type

                    Published: Apr 20, 2026                      ·  Modified: Apr 23, 2026                      ·  Source: NVD                

CVSS v3

6.3

🔗 NVD Official

📄 Description (English)

A security flaw has been discovered in TransformerOptimus SuperAGI up to 0.0.14. Affected by this vulnerability is the function get_project/update_project/get_projects_organisation of the file superagi/controllers/project.py. The manipulation results in authorization bypass. The attack may be performed from remote. The exploit has been released to the public and may be used for attacks. The vendor was contacted early about this disclosure but did not respond in any way.

🤖 AI Executive Summary

TransformerOptimus SuperAGI versions up to 0.0.14 contain an authorization bypass vulnerability in project management functions that allows remote attackers to manipulate access controls. The flaw affects get_project, update_project, and get_projects_organisation endpoints, potentially exposing sensitive project data and configurations.

📄 Description (Arabic)

تم اكتشاف ثغرة تجاوز التفويض في TransformerOptimus SuperAGI تؤثر على وحدات التحكم في المشاريع. تسمح الثغرة للمهاجمين البعيدين بالوصول غير المصرح به إلى بيانات المشاريع والتعديل عليها دون التحقق المناسب من الأذونات. تم الإفراج عن استغلال الثغرة علناً، مما يزيد من خطر الهجمات الفعلية.

🤖 ملخص تنفيذي (AI)

يحتوي SuperAGI من TransformerOptimus الإصدار 0.0.14 وما قبله على ثغرة تجاوز التفويض في وظائف إدارة المشاريع تسمح للمهاجمين البعيدين بالتلاعب بضوابط الوصول. تؤثر الثغرة على نقاط نهاية إدارة المشاريع، مما قد يعرض بيانات المشاريع والإعدادات الحساسة للخطر.

🤖 AI Intelligence Analysis Analyzed: May 17, 2026 20:05

🇸🇦 Saudi Arabia Impact Assessment

Saudi Relevance: medium

🏢 Affected Saudi Sectors

government telecom energy

🎯 MITRE ATT&CK Techniques

T1548 T1078 T1190

⚖️ Saudi Risk Score (AI)

6.0

/ 10.0

🔧 Remediation Steps (English)

Upgrade TransformerOptimus SuperAGI to a version newer than 0.0.14 immediately. Implement strict role-based access control (RBAC) validation on all project endpoints. Apply input validation and authentication checks before processing project-related requests. Monitor access logs for unauthorized project access attempts. Restrict API access to trusted networks using firewall rules.

🔧 خطوات المعالجة (العربية)

قم بترقية TransformerOptimus SuperAGI إلى إصدار أحدث من 0.0.14 فوراً. طبق التحقق الصارم من التحكم في الوصول القائم على الأدوار على جميع نقاط نهاية المشاريع. طبق التحقق من صحة المدخلات والتحقق من المصادقة قبل معالجة الطلبات المتعلقة بالمشاريع. راقب سجلات الوصول لمحاولات الوصول غير المصرح به للمشاريع. قيد وصول API للشبكات الموثوقة باستخدام قواعد جدار الحماية.

📋 Regulatory Compliance Mapping

🟢 NCA ECC 2024

5.1.1 5.1.2 5.2.1

🔵 SAMA CSF

AC-2 AC-3 AC-5

🟡 ISO 27001:2022

A.9.1.1 A.9.2.1 A.9.2.5

🔗 References & Sources 4

🔗

https://gist.github.com/YLChen-007/ac40da2253c7364d043c0dfe3275190b

cna@vuldb.com

🔗

https://vuldb.com/submit/791082

cna@vuldb.com

🔗

https://vuldb.com/vuln/358249

cna@vuldb.com

🔗

https://vuldb.com/vuln/358249/cti

cna@vuldb.com

📊 CVSS Score

6.3

/ 10.0 — Medium

📊 CVSS Vector

CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:L/A:L

Attack VectorN — None / Network

Attack ComplexityL — Low / Local

Privileges RequiredL — Low / Local

User InteractionN — None / Network

ScopeU — Unchanged

ConfidentialityL — Low / Local

IntegrityL — Low / Local

AvailabilityL — Low / Local

📋 Quick Facts

Severity Medium

CVSS Score6.3

CWECWE-285

EPSS0.04%

Exploit No

Patch ✗ No

Published 2026-04-20

Source Feed nvd

🇸🇦 Saudi Risk Score

6.0

/ 10.0 — Saudi Risk

Priority: MEDIUM

🏷️ Tags

CWE-285

⚡ Actions

🔗 NVD Official Page ⚡ Exploit-DB Search 🐙 GitHub PoC Search 🎯 MITRE ATT&CK 📊 CVE Details

CVE-2026-6614

Introduce Yourself

Sign In Required