Vulnerabilities ›

CVE-2026-7604

Medium

CWE-918 — Weakness Type

                    Published: May 2, 2026                      ·  Modified: May 5, 2026                      ·  Source: NVD                

CVSS v3

6.3

🔗 NVD Official

📄 Description (English)

A vulnerability was identified in JeecgBoot up to 3.9.1. This affects the function OpenApiController.add/OpenApiController.call of the file OpenApiController.java of the component OpenApi Service. Such manipulation of the argument originUrl database leads to server-side request forgery. It is possible to launch the attack remotely. The exploit is publicly available and might be used. It is suggested to upgrade the affected component. The vendor confirmed the issue and will provide a fix in the upcoming release.

🤖 AI Executive Summary

JeecgBoot versions up to 3.9.1 contain a server-side request forgery (SSRF) vulnerability in the OpenApi Service component that allows remote attackers to manipulate the originUrl parameter. This vulnerability could enable unauthorized access to internal resources and sensitive data within affected organizations.

📄 Description (Arabic)

تؤثر هذه الثغرة على وحدة تحكم OpenApi في JeecgBoot وتسمح بمعالجة معامل قاعدة البيانات originUrl بطريقة ضارة. يمكن للمهاجمين استخدام هذه الثغرة للوصول إلى الموارد الداخلية والخوادم المحلية التي لا يمكن الوصول إليها عادة من الإنترنت. الاستغلال متاح بشكل علني ويشكل تهديداً فوري للمنظمات التي تستخدم الإصدارات المتأثرة.

🤖 ملخص تنفيذي (AI)

إصدارات JeecgBoot حتى 3.9.1 تحتوي على ثغرة تزييف طلب من جانب الخادم في مكون خدمة OpenApi تسمح للمهاجمين البعيدين بمعالجة معامل originUrl. يمكن لهذه الثغرة تمكين الوصول غير المصرح به إلى الموارد الداخلية والبيانات الحساسة داخل المنظمات المتأثرة.

🤖 AI Intelligence Analysis Analyzed: May 18, 2026 07:30

🇸🇦 Saudi Arabia Impact Assessment

Saudi Relevance: high

🏢 Affected Saudi Sectors

banking telecom government healthcare

🎯 MITRE ATT&CK Techniques

T1190 T1498 T1570

⚖️ Saudi Risk Score (AI)

7.0

/ 10.0

🔧 Remediation Steps (English)

Immediately upgrade JeecgBoot to version 3.9.2 or later when available. Implement network segmentation to restrict outbound connections from the application server. Apply input validation and sanitization for the originUrl parameter. Monitor and log all OpenApi Service requests for suspicious activity. Consider implementing a Web Application Firewall (WAF) with SSRF detection rules.

🔧 خطوات المعالجة (العربية)

قم بترقية JeecgBoot فوراً إلى الإصدار 3.9.2 أو أحدث عند توفره. طبق تقسيم الشبكة لتقييد الاتصالات الصادرة من خادم التطبيق. طبق التحقق من صحة المدخلات وتنظيفها لمعامل originUrl. راقب وسجل جميع طلبات خدمة OpenApi للنشاط المريب. فكر في تطبيق جدار حماية تطبيقات الويب (WAF) مع قواعد كشف SSRF.

📋 Regulatory Compliance Mapping

🟢 NCA ECC 2024

5.1 5.2 6.1

🔵 SAMA CSF

CC-6.1 CC-6.2 CC-7.2

🟡 ISO 27001:2022

A.13.1.1 A.14.2.1 A.14.2.5

🔗 References & Sources 6

🔗

https://github.com/jeecgboot/JeecgBoot/

cna@vuldb.com

🔗

https://github.com/jeecgboot/JeecgBoot/issues/9554

cna@vuldb.com

🔗

https://github.com/jeecgboot/JeecgBoot/issues/9554#issuecomment-4251574151

cna@vuldb.com

🔗

https://vuldb.com/submit/805708

cna@vuldb.com

🔗

https://vuldb.com/vuln/360561

cna@vuldb.com

🔗

https://vuldb.com/vuln/360561/cti

cna@vuldb.com

📊 CVSS Score

6.3

/ 10.0 — Medium

📊 CVSS Vector

CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:L/A:L

Attack VectorN — None / Network

Attack ComplexityL — Low / Local

Privileges RequiredL — Low / Local

User InteractionN — None / Network

ScopeU — Unchanged

ConfidentialityL — Low / Local

IntegrityL — Low / Local

AvailabilityL — Low / Local

📋 Quick Facts

Severity Medium

CVSS Score6.3

CWECWE-918

EPSS0.05%

Exploit No

Patch ✗ No

Published 2026-05-02

Source Feed nvd

🇸🇦 Saudi Risk Score

7.0

/ 10.0 — Saudi Risk

Priority: HIGH

🏷️ Tags

CWE-918

⚡ Actions

🔗 NVD Official Page ⚡ Exploit-DB Search 🐙 GitHub PoC Search 🎯 MITRE ATT&CK 📊 CVE Details

CVE-2026-7604

Introduce Yourself

Sign In Required