Vulnerabilities ›

CVE-2026-6835

Medium

CWE-434 — Weakness Type

                    Published: Apr 22, 2026                      ·  Modified: Apr 25, 2026                      ·  Source: NVD                

CVSS v3

6.1

🔗 NVD Official

📄 Description (English)

The a+HCM developed by aEnrich has an Arbitrary File Upload vulnerability, allowing unauthenticated remote attackers to upload arbitrary files to any path, including HTML documents, which may result in a XSS-like effect.

🤖 AI Executive Summary

a+HCM by aEnrich contains an arbitrary file upload vulnerability allowing unauthenticated attackers to upload malicious files to any path. This can lead to cross-site scripting (XSS) attacks and potential system compromise through uploaded HTML documents.

📄 Description (Arabic)

تطبيق إدارة الموارد البشرية a+HCM يعاني من ثغرة تحميل ملفات حرجة تسمح بالوصول غير المصرح به. يمكن للمهاجمين استغلال هذه الثغرة لتنفيذ هجمات XSS وتعديل محتوى التطبيق بشكل ضار.

🤖 ملخص تنفيذي (AI)

تطبيق a+HCM من aEnrich يحتوي على ثغرة تحميل ملفات عشوائية تسمح للمهاجمين غير المصرح لهم برفع ملفات ضارة إلى أي مسار. قد يؤدي هذا إلى هجمات XSS والتعريض للخطر من خلال مستندات HTML المرفوعة.

🤖 AI Intelligence Analysis Analyzed: May 23, 2026 08:49

🇸🇦 Saudi Arabia Impact Assessment

Saudi Relevance: high

🏢 Affected Saudi Sectors

government healthcare banking

🎯 MITRE ATT&CK Techniques

T1190 T1434 T1047

⚖️ Saudi Risk Score (AI)

7.0

/ 10.0

🔧 Remediation Steps (English)

Immediately patch a+HCM to the latest version. Implement strict file upload validation including file type whitelisting, file extension verification, and storage outside web root. Enable authentication requirements for all file upload endpoints. Deploy Web Application Firewall (WAF) rules to block suspicious uploads. Conduct security audit of deployed instances.

🔧 خطوات المعالجة (العربية)

قم بتحديث a+HCM فوراً إلى أحدث إصدار. طبق التحقق الصارم من تحميل الملفات بما في ذلك قائمة بيضاء لأنواع الملفات والتحقق من الامتدادات. فعّل متطلبات المصادقة لجميع نقاط نهاية التحميل. نشر قواعد جدار الحماية لحجب التحميلات المريبة. أجرِ تدقيقاً أمنياً للنسخ المنشورة.

📋 Regulatory Compliance Mapping

🟢 NCA ECC 2024

6.1 6.2 7.1

🔵 SAMA CSF

AC-2 AC-3 SI-10

🟡 ISO 27001:2022

A.14.2.1 A.14.2.5 A.12.3.1

🔗 References & Sources 2

🔗

https://www.twcert.org.tw/en/cp-139-10836-ed15f-2.html

twcert@cert.org.tw

🔗

https://www.twcert.org.tw/tw/cp-132-10835-cb0c2-1.html

twcert@cert.org.tw

📊 CVSS Score

6.1

/ 10.0 — Medium

📊 CVSS Vector

CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N

Attack VectorN — None / Network

Attack ComplexityL — Low / Local

Privileges RequiredN — None / Network

User InteractionR — Required

ScopeC — Changed

ConfidentialityL — Low / Local

IntegrityL — Low / Local

AvailabilityN — None / Network

📋 Quick Facts

Severity Medium

CVSS Score6.1

CWECWE-434

EPSS0.03%

Exploit No

Patch ✗ No

Published 2026-04-22

Source Feed nvd

🇸🇦 Saudi Risk Score

7.0

/ 10.0 — Saudi Risk

Priority: HIGH

🏷️ Tags

CWE-434

⚡ Actions

🔗 NVD Official Page ⚡ Exploit-DB Search 🐙 GitHub PoC Search 🎯 MITRE ATT&CK 📊 CVE Details

CVE-2026-6835

Introduce Yourself

Sign In Required