الثغرات ›

CVE-2026-6662

مرتفع

CWE-346 — نوع الضعف

                    نُشر: Apr 20, 2026                      ·  آخر تحديث: Apr 27, 2026                      ·  المصدر: NVD                

CVSS v3

7.3

🔗 NVD الرسمي

📄 الوصف (الإنجليزية)

A vulnerability was found in ericc-ch copilot-api up to 0.7.0. The impacted element is the function cors of the file src/server.ts of the component Token Endpoint. Performing a manipulation results in permissive cross-domain policy with untrusted domains. It is possible to initiate the attack remotely. The exploit has been made public and could be used.

🤖 ملخص AI

CVE-2026-6662 is a CORS misconfiguration vulnerability in ericc-ch copilot-api versions up to 0.7.0 that allows attackers to bypass cross-domain restrictions through permissive CORS policies. This vulnerability enables remote exploitation and could lead to unauthorized access to sensitive token endpoint data.

📄 الوصف (العربية)

تم اكتشاف ثغرة في ericc-ch copilot-api حتى الإصدار 0.7.0 في دالة CORS بملف src/server.ts تسمح بسياسات عبر النطاقات متساهلة مع النطاقات غير الموثوقة. يمكن استغلال هذه الثغرة عن بعد وقد تم نشر طريقة الاستغلال علناً.

🤖 ملخص تنفيذي (AI)

A CORS vulnerability in copilot-api allows attackers to bypass cross-domain security restrictions through permissive policies on the token endpoint. Remote exploitation is possible and the vulnerability has been publicly disclosed.

🤖 التحليل الذكي آخر تحليل: May 5, 2026 20:33

🇸🇦 التأثير على المملكة العربية السعودية

Saudi Relevance: high

🏢 القطاعات السعودية المتأثرة

banking telecom government healthcare

🎯 تقنيات MITRE ATT&CK

T1190 T1566

⚖️ درجة المخاطر السعودية (AI)

7.0

/ 10.0

🔧 Remediation Steps (English)

Update ericc-ch copilot-api to version 0.7.1 or later immediately. Implement strict CORS policies by whitelisting only trusted domains, removing wildcard (*) origins, and validating all cross-origin requests. Review and restrict access to the token endpoint to authorized applications only.

🔧 خطوات المعالجة (العربية)

قم بتحديث ericc-ch copilot-api إلى الإصدار 0.7.1 أو أحدث فوراً. طبق سياسات CORS صارمة بإدراج النطاقات الموثوقة فقط في قائمة بيضاء وإزالة أصول البطاقة البرية وتحقق من جميع الطلبات عبر الأصول. راجع وقيد الوصول إلى نقطة نهاية التوكن للتطبيقات المصرح بها فقط.

📋 خريطة الامتثال التنظيمي

🟢 NCA ECC 2024

5.1.2 5.2.1

🔵 SAMA CSF

AC-3 AC-4

🟡 ISO 27001:2022

A.13.1.1 A.14.1.1

🔗 المراجع والمصادر 4

🔗

https://github.com/August829/CVEP/issues/31

cna@vuldb.com

🔗

https://vuldb.com/submit/794601

cna@vuldb.com

🔗

https://vuldb.com/vuln/358300

cna@vuldb.com

🔗

https://vuldb.com/vuln/358300/cti

cna@vuldb.com

📊 CVSS Score

7.3

/ 10.0 — مرتفع

📊 CVSS Vector

CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:L/A:L

Attack VectorN — None / Network

Attack ComplexityL — Low / Local

Privileges RequiredN — None / Network

User InteractionN — None / Network

ScopeU — Unchanged

ConfidentialityL — Low / Local

IntegrityL — Low / Local

AvailabilityL — Low / Local

📋 حقائق سريعة

الخطورة مرتفع

CVSS Score7.3

CWECWE-346

EPSS0.02%

اختراق متاح لا

تصحيح متاح ✗ لا

تاريخ النشر 2026-04-20

المصدر nvd

المشاهدات 2

🇸🇦 درجة المخاطر السعودية

7.0

/ 10.0 — مخاطر السعودية

أولوية: HIGH

🏷️ الوسوم

CWE-346

⚡ إجراءات

🔗 NVD Official Page ⚡ Exploit-DB Search 🐙 GitHub PoC Search 🎯 MITRE ATT&CK 📊 CVE Details

💬 التعليقات

جارٍ التحميل

CVE-2026-6662

💬 التعليقات

عرّفنا بنفسك

تسجيل الدخول مطلوب