Vulnerabilities ›

CVE-2026-6834

Medium

CWE-862 — Weakness Type

                    Published: Apr 22, 2026                      ·  Modified: Apr 25, 2026                      ·  Source: NVD                

CVSS v3

6.5

🔗 NVD Official

📄 Description (English)

The a+HRD developed by aEnrich has a Missing Authorization vulnerability, allowing authenticated remote attackers to arbitrarily read database contents through a specific API method.

🤖 AI Executive Summary

CVE-2026-6834 is a missing authorization vulnerability in a+HRD by aEnrich that allows authenticated remote attackers to read arbitrary database contents via a specific API method. The vulnerability affects the authorization controls on sensitive API endpoints, potentially exposing confidential employee and organizational data.

📄 Description (Arabic)

ثغرة CVE-2026-6834 في تطبيق إدارة الموارد البشرية a+HRD تتعلق بنقص التحقق من الصلاحيات على طريقة API معينة. يمكن للمهاجمين المصرح لهم الاستفادة من هذه الثغرة للوصول إلى محتويات قاعدة البيانات بشكل غير مصرح. قد يؤدي هذا إلى كشف بيانات حساسة تتعلق بالموظفين والرواتب والمعلومات الشخصية.

🤖 ملخص تنفيذي (AI)

CVE-2026-6834 هو ثغرة في التحقق من الصلاحيات في تطبيق a+HRD من aEnrich تسمح للمهاجمين المصرح لهم بقراءة محتويات قاعدة البيانات بشكل تعسفي عبر طريقة API معينة. تؤثر الثغرة على عناصر التحكم في التفويض على نقاط نهاية API الحساسة، مما قد يؤدي إلى كشف بيانات الموظفين والمنظمات السرية.

🤖 AI Intelligence Analysis Analyzed: May 11, 2026 02:01

🇸🇦 Saudi Arabia Impact Assessment

Saudi Relevance: high

🏢 Affected Saudi Sectors

government banking healthcare

🎯 MITRE ATT&CK Techniques

T1078.001 T1526 T1087

⚖️ Saudi Risk Score (AI)

7.0

/ 10.0

🔧 Remediation Steps (English)

Update a+HRD to the latest patched version immediately. Implement proper authorization checks on all API endpoints. Conduct a security audit of API access controls. Monitor database access logs for suspicious activities. Restrict API access to authorized users only with role-based access control (RBAC).

🔧 خطوات المعالجة (العربية)

قم بتحديث a+HRD إلى أحدث إصدار مصحح على الفور. تطبيق فحوصات التفويض الصحيحة على جميع نقاط نهاية API. إجراء تدقيق أمني لعناصر التحكم في الوصول إلى API. مراقبة سجلات الوصول إلى قاعدة البيانات للأنشطة المريبة. تقييد الوصول إلى API للمستخدمين المصرح لهم فقط باستخدام التحكم في الوصول القائم على الأدوار.

📋 Regulatory Compliance Mapping

🟢 NCA ECC 2024

5.1.1 5.1.2 5.2.1

🔵 SAMA CSF

AC-2 AC-3 AC-6

🟡 ISO 27001:2022

A.9.1.1 A.9.2.1 A.9.4.1

🔗 References & Sources 2

🔗

https://www.twcert.org.tw/en/cp-139-10834-eb3ee-2.html

twcert@cert.org.tw

🔗

https://www.twcert.org.tw/tw/cp-132-10833-e3a53-1.html

twcert@cert.org.tw

📊 CVSS Score

6.5

/ 10.0 — Medium

📊 CVSS Vector

CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:N

Attack VectorN — None / Network

Attack ComplexityL — Low / Local

Privileges RequiredL — Low / Local

User InteractionN — None / Network

ScopeU — Unchanged

ConfidentialityH — High

IntegrityN — None / Network

AvailabilityN — None / Network

📋 Quick Facts

Severity Medium

CVSS Score6.5

CWECWE-862

EPSS0.04%

Exploit No

Patch ✗ No

Published 2026-04-22

Source Feed nvd

🇸🇦 Saudi Risk Score

7.0

/ 10.0 — Saudi Risk

Priority: HIGH

🏷️ Tags

CWE-862

⚡ Actions

🔗 NVD Official Page ⚡ Exploit-DB Search 🐙 GitHub PoC Search 🎯 MITRE ATT&CK 📊 CVE Details

CVE-2026-6834

Introduce Yourself

Sign In Required