Vulnerabilities ›

CVE-2026-7280

Medium

CWE-428 — Weakness Type

                    Published: Apr 28, 2026                      ·  Modified: May 1, 2026                      ·  Source: NVD                

CVSS v3

6.7

🔗 NVD Official

📄 Description (English)

AVACAST developed by eMPIA Technology has a Unquoted Service Path vulnerability, allowing privileged local attackers to place a malicious executable file in a specific directory, resulting in arbitrary code execution with system privileges when the AVACAST service starts.

🤖 AI Executive Summary

AVACAST by eMPIA Technology contains an unquoted service path vulnerability that allows privileged local attackers to execute arbitrary code with system privileges. An attacker can place a malicious executable in a specific directory to achieve code execution when the service starts.

📄 Description (Arabic)

تحتوي خدمة AVACAST على ثغرة في مسار الخدمة غير المحاط بعلامات اقتباس مما يسمح للمهاجمين المحليين بامتيازات بوضع ملفات تنفيذية ضارة. عند بدء الخدمة، يتم تنفيذ الملف الضار بصلاحيات النظام الكاملة.

🤖 ملخص تنفيذي (AI)

AVACAST من تطوير eMPIA Technology يحتوي على ثغرة مسار خدمة غير محاط بعلامات اقتباس تسمح للمهاجمين المحليين الممتلكين لصلاحيات بتنفيذ أكواد عشوائية. يمكن للمهاجم وضع ملف تنفيذي ضار في مجلد معين لتحقيق تنفيذ الأكواد عند بدء الخدمة.

🤖 AI Intelligence Analysis Analyzed: May 10, 2026 17:49

🇸🇦 Saudi Arabia Impact Assessment

Saudi Relevance: medium

🏢 Affected Saudi Sectors

telecom media government

🎯 MITRE ATT&CK Techniques

T1547.001 T1574.008 T1574.011

⚖️ Saudi Risk Score (AI)

7.0

/ 10.0

🔧 Remediation Steps (English)

Update AVACAST to the latest patched version from eMPIA Technology. Implement proper access controls to restrict write permissions to service directories. Use full quoted paths in service configurations. Monitor service startup processes and validate executable integrity.

🔧 خطوات المعالجة (العربية)

قم بتحديث AVACAST إلى أحدث إصدار مصحح من eMPIA Technology. طبق ضوابط وصول مناسبة لتقييد صلاحيات الكتابة في مجلدات الخدمات. استخدم مسارات محاطة بعلامات اقتباس كاملة في تكوينات الخدمات. راقب عمليات بدء الخدمات والتحقق من سلامة الملفات التنفيذية.

📋 Regulatory Compliance Mapping

🟢 NCA ECC 2024

2.1.1 2.2.1 3.1.1

🔵 SAMA CSF

ID.AM-2 PR.AC-1 PR.AC-3

🟡 ISO 27001:2022

A.5.1.1 A.6.1.1 A.9.2.1

🔗 References & Sources 2

🔗

https://www.twcert.org.tw/en/cp-139-10885-02d83-2.html

twcert@cert.org.tw

🔗

https://www.twcert.org.tw/tw/cp-132-10884-f9c21-1.html

twcert@cert.org.tw

📊 CVSS Score

6.7

/ 10.0 — Medium

📊 CVSS Vector

CVSS:3.1/AV:L/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:H

Attack VectorL — Low / Local

Attack ComplexityL — Low / Local

Privileges RequiredH — High

User InteractionN — None / Network

ScopeU — Unchanged

ConfidentialityH — High

IntegrityH — High

AvailabilityH — High

📋 Quick Facts

Severity Medium

CVSS Score6.7

CWECWE-428

EPSS0.02%

Exploit No

Patch ✗ No

Published 2026-04-28

Source Feed nvd

🇸🇦 Saudi Risk Score

7.0

/ 10.0 — Saudi Risk

Priority: HIGH

🏷️ Tags

CWE-428

⚡ Actions

🔗 NVD Official Page ⚡ Exploit-DB Search 🐙 GitHub PoC Search 🎯 MITRE ATT&CK 📊 CVE Details

💬 Comments

Loading comments

CVE-2026-7280

💬 Comments

Introduce Yourself

Sign In Required