Vulnerabilities ›

CVE-2026-7084

Medium

CWE-918 — Weakness Type

                    Published: Apr 27, 2026                      ·  Modified: Apr 30, 2026                      ·  Source: NVD                

CVSS v3

6.3

🔗 NVD Official

📄 Description (English)

A vulnerability was found in HBAI-Ltd Toonflow-app up to 1.1.1. This affects the function fetch of the file src/routes/setting/vendorConfig/getCodeByLink.ts of the component getCodeByLink Endpoint. The manipulation of the argument Link results in server-side request forgery. The attack may be performed from remote. The exploit has been made public and could be used. There is ongoing doubt regarding the real existence of this vulnerability. The vendor explains in a reply to the issue report, that "[t]he /getCodeByLink interface is used to obtain TS code and run it locally. It is inherently a high-risk interface, and users must clearly understand the risks before requesting to use it."

🤖 AI Executive Summary

A server-side request forgery (SSRF) vulnerability exists in HBAI-Ltd Toonflow-app versions up to 1.1.1 in the getCodeByLink endpoint, allowing remote attackers to manipulate the Link parameter. The vendor acknowledges this is a high-risk interface requiring explicit user understanding of security implications.

📄 Description (Arabic)

تم العثور على ثغرة SSRF في دالة fetch بملف getCodeByLink.ts في تطبيق Toonflow حتى الإصدار 1.1.1. تسمح الثغرة للمهاجمين بمعالجة معامل الرابط لتنفيذ طلبات على خوادم داخلية. يعترف البائع بأن الواجهة عالية المخاطر وتتطلب موافقة صريحة من المستخدم.

🤖 ملخص تنفيذي (AI)

تم اكتشاف ثغرة SSRF في تطبيق Toonflow من HBAI-Ltd الإصدارات حتى 1.1.1 في نقطة نهاية getCodeByLink، مما يسمح للمهاجمين بمعالجة معامل الرابط عن بعد. يعترف البائع بأن هذه واجهة عالية المخاطر تتطلب فهماً صريحاً من المستخدم لآثار الأمان.

🤖 AI Intelligence Analysis Analyzed: May 16, 2026 20:46

🇸🇦 Saudi Arabia Impact Assessment

Saudi Relevance: medium

🏢 Affected Saudi Sectors

government telecom

🎯 MITRE ATT&CK Techniques

T1190 T1498 T1570

⚖️ Saudi Risk Score (AI)

6.0

/ 10.0

🔧 Remediation Steps (English)

Upgrade HBAI-Ltd Toonflow-app to version 1.1.2 or later. Implement strict input validation and URL whitelisting for the Link parameter. Restrict access to the getCodeByLink endpoint to authorized users only. Monitor and log all requests to this endpoint. Consider disabling the endpoint if not actively required.

🔧 خطوات المعالجة (العربية)

قم بترقية تطبيق Toonflow من HBAI-Ltd إلى الإصدار 1.1.2 أو أحدث. قم بتطبيق التحقق الصارم من المدخلات وقائمة بيضاء للعناوين بخصوص معامل الرابط. قيد الوصول إلى نقطة النهاية إلى المستخدمين المصرح لهم فقط. راقب وسجل جميع الطلبات إلى هذه النقطة. فكر في تعطيل النقطة إذا لم تكن مطلوبة بنشاط.

📋 Regulatory Compliance Mapping

🟢 NCA ECC 2024

A.7.1.1 A.7.2.1 A.7.4.1

🔵 SAMA CSF

ID.RA-1 PR.AC-1 PR.AC-3

🟡 ISO 27001:2022

A.6.1.1 A.7.1.1 A.7.2.1 A.7.4.1 A.13.1.1

🔗 References & Sources 6

🔗

https://github.com/HBAI-Ltd/Toonflow-app/

cna@vuldb.com

🔗

https://github.com/HBAI-Ltd/Toonflow-app/issues/95

cna@vuldb.com

🔗

https://github.com/HBAI-Ltd/Toonflow-app/issues/95#issuecomment-4208181221

cna@vuldb.com

🔗

https://vuldb.com/submit/799582

cna@vuldb.com

🔗

https://vuldb.com/vuln/359659

cna@vuldb.com

🔗

https://vuldb.com/vuln/359659/cti

cna@vuldb.com

📊 CVSS Score

6.3

/ 10.0 — Medium

📊 CVSS Vector

CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:L/A:L

Attack VectorN — None / Network

Attack ComplexityL — Low / Local

Privileges RequiredL — Low / Local

User InteractionN — None / Network

ScopeU — Unchanged

ConfidentialityL — Low / Local

IntegrityL — Low / Local

AvailabilityL — Low / Local

📋 Quick Facts

Severity Medium

CVSS Score6.3

CWECWE-918

EPSS0.01%

Exploit No

Patch ✗ No

Published 2026-04-27

Source Feed nvd

🇸🇦 Saudi Risk Score

6.0

/ 10.0 — Saudi Risk

Priority: MEDIUM

🏷️ Tags

CWE-918

⚡ Actions

🔗 NVD Official Page ⚡ Exploit-DB Search 🐙 GitHub PoC Search 🎯 MITRE ATT&CK 📊 CVE Details

CVE-2026-7084

Introduce Yourself

Sign In Required