الثغرات ›

CVE-2026-6729

متوسط

CWE-287 — نوع الضعف

                    نُشر: Apr 20, 2026                      ·  آخر تحديث: Apr 21, 2026                      ·  المصدر: NVD                

CVSS v3

6.3

🔗 NVD الرسمي

📄 الوصف (الإنجليزية)

HKUDS OpenHarness prior to PR #159 remediation contains a session key derivation vulnerability that allows authenticated participants in shared chats or threads to hijack other users' sessions by exploiting a shared ohmo session key that lacks sender identity verification. Attackers can reuse another user's conversation state and replace or interrupt their active tasks by colliding into the same session boundary through the shared chat or thread scope.

🤖 ملخص AI

HKUDS OpenHarness versions before PR #159 contain a session key derivation vulnerability allowing authenticated users to hijack other users' sessions in shared chats by exploiting missing sender identity verification. Attackers can reuse conversation states and interrupt active tasks through session boundary collisions.

📄 الوصف (العربية)

تحتوي نسخ HKUDS OpenHarness السابقة لـ PR #159 على ثغرة في آلية اشتقاق مفتاح الجلسة حيث يفتقد التحقق من هوية المرسل. يمكن للمستخدمين المصرح لهم الذين لديهم وصول إلى الدردشات أو المواضيع المشتركة استغلال هذه الثغرة لاختطاف جلسات المستخدمين الآخرين. يسمح هذا الاستغلال بإعادة استخدام حالة المحادثة وتعطيل أو استبدال المهام النشطة للمستخدمين الآخرين.

🤖 ملخص تنفيذي (AI)

HKUDS OpenHarness الإصدارات السابقة لـ PR #159 تحتوي على ثغرة في اشتقاق مفتاح الجلسة تسمح للمستخدمين المصرح لهم باختطاف جلسات المستخدمين الآخرين في الدردشات المشتركة. يمكن للمهاجمين إعادة استخدام حالات المحادثة وقطع المهام النشطة من خلال تصادمات حدود الجلسة.

🤖 التحليل الذكي آخر تحليل: May 18, 2026 20:08

🇸🇦 التأثير على المملكة العربية السعودية

Saudi Relevance: medium

🏢 القطاعات السعودية المتأثرة

telecom government

🎯 تقنيات MITRE ATT&CK

T1110 T1187 T1556

⚖️ درجة المخاطر السعودية (AI)

6.0

/ 10.0

🔧 Remediation Steps (English)

Upgrade HKUDS OpenHarness to version incorporating PR #159 or later. Implement sender identity verification in session key derivation. Add cryptographic binding between session keys and user identities. Conduct security audit of session management mechanisms. Monitor for suspicious session activity and implement rate limiting on session operations.

🔧 خطوات المعالجة (العربية)

قم بترقية HKUDS OpenHarness إلى الإصدار الذي يتضمن PR #159 أو أحدث. تنفيذ التحقق من هوية المرسل في اشتقاق مفتاح الجلسة. إضافة ربط تشفيري بين مفاتيح الجلسة وهويات المستخدمين. إجراء تدقيق أمني لآليات إدارة الجلسة. مراقبة نشاط الجلسة المريب وتنفيذ تحديد معدل على عمليات الجلسة.

📋 خريطة الامتثال التنظيمي

🟢 NCA ECC 2024

5.1.1 5.1.2 5.2.1

🔵 SAMA CSF

AC-2 AC-3 IA-2

🟡 ISO 27001:2022

A.9.2.1 A.9.2.5 A.9.4.3

🔗 المراجع والمصادر 3

🔗

https://github.com/HKUDS/OpenHarness/commit/3186851c479ee714a9bb9aa6cd77017db7e589e2

disclosure@vulncheck.com

🔗

https://github.com/HKUDS/OpenHarness/pull/159

disclosure@vulncheck.com

🔗

https://www.vulncheck.com/advisories/hkuds-openharness-session-key-collision-privilege-...

disclosure@vulncheck.com

📊 CVSS Score

6.3

/ 10.0 — متوسط

📊 CVSS Vector

CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:L/A:L

Attack VectorN — None / Network

Attack ComplexityL — Low / Local

Privileges RequiredL — Low / Local

User InteractionN — None / Network

ScopeU — Unchanged

ConfidentialityL — Low / Local

IntegrityL — Low / Local

AvailabilityL — Low / Local

📋 حقائق سريعة

الخطورة متوسط

CVSS Score6.3

CWECWE-287

EPSS0.04%

اختراق متاح لا

تصحيح متاح ✗ لا

تاريخ النشر 2026-04-20

المصدر nvd

المشاهدات 6

🇸🇦 درجة المخاطر السعودية

6.0

/ 10.0 — مخاطر السعودية

أولوية: MEDIUM

🏷️ الوسوم

CWE-287

⚡ إجراءات

🔗 NVD Official Page ⚡ Exploit-DB Search 🐙 GitHub PoC Search 🎯 MITRE ATT&CK 📊 CVE Details

CVE-2026-6729

عرّفنا بنفسك

تسجيل الدخول مطلوب