Vulnerabilities ›

CVE-2026-7696

Medium

CWE-284 — Weakness Type

                    Published: May 3, 2026                      ·  Modified: May 6, 2026                      ·  Source: NVD                

CVSS v3

6.3

🔗 NVD Official

📄 Description (English)

A vulnerability was found in Acrel Electrical EEMS Enterprise Power Operation and Maintenance Cloud Platform 1.3.0. This impacts an unknown function of the file /SubstationWEBV2/main/uploadH5Files. The manipulation of the argument File results in unrestricted upload. The attack may be launched remotely. The exploit has been made public and could be used. The vendor was contacted early about this disclosure but did not respond in any way.

🤖 AI Executive Summary

Acrel Electrical EEMS Enterprise Power Operation and Maintenance Cloud Platform 1.3.0 contains an unrestricted file upload vulnerability in the /SubstationWEBV2/main/uploadH5Files endpoint. This allows remote attackers to upload arbitrary files, potentially leading to remote code execution or system compromise.

📄 Description (Arabic)

تم اكتشاف ثغرة في منصة Acrel Electrical EEMS Enterprise Power Operation and Maintenance Cloud Platform الإصدار 1.3.0 تسمح بتحميل ملفات غير مقيدة عبر نقطة النهاية /SubstationWEBV2/main/uploadH5Files. يمكن للمهاجمين البعيدين استغلال هذه الثغرة لتحميل ملفات ضارة دون قيود، مما قد يؤدي إلى تنفيذ أكواد بعيدة أو الوصول غير المصرح به إلى النظام. تم نشر استغلال الثغرة علناً والبائع لم يستجب للإفصاح المسؤول.

🤖 ملخص تنفيذي (AI)

منصة Acrel Electrical EEMS Enterprise Power Operation and Maintenance Cloud Platform الإصدار 1.3.0 تحتوي على ثغرة تحميل ملفات غير مقيدة في نقطة النهاية /SubstationWEBV2/main/uploadH5Files. يمكن للمهاجمين البعيدين تحميل ملفات عشوائية، مما قد يؤدي إلى تنفيذ أكواد بعيدة أو اختراق النظام.

🤖 AI Intelligence Analysis Analyzed: May 18, 2026 13:49

🇸🇦 Saudi Arabia Impact Assessment

Saudi Relevance: high

🏢 Affected Saudi Sectors

energy government telecom

🎯 MITRE ATT&CK Techniques

T1190 T1434 T1566 T1204

⚖️ Saudi Risk Score (AI)

7.0

/ 10.0

🔧 Remediation Steps (English)

Immediately upgrade Acrel Electrical EEMS to a patched version beyond 1.3.0. Implement strict file upload validation including file type whitelisting, size restrictions, and content verification. Deploy Web Application Firewall (WAF) rules to block suspicious uploads to /SubstationWEBV2/main/uploadH5Files. Restrict upload functionality to authenticated users with proper authorization checks. Monitor upload activities and implement file integrity monitoring.

🔧 خطوات المعالجة (العربية)

قم بترقية Acrel Electrical EEMS فوراً إلى إصدار مصحح أحدث من 1.3.0. طبق التحقق الصارم من تحميل الملفات بما في ذلك قائمة بيضاء لأنواع الملفات وقيود الحجم والتحقق من المحتوى. نشر قواعد جدار حماية تطبيقات الويب لحجب التحميلات المريبة. قيد وظيفة التحميل للمستخدمين المصرح لهم مع فحوصات التفويض المناسبة. راقب أنشطة التحميل وطبق مراقبة سلامة الملفات.

📋 Regulatory Compliance Mapping

🟢 NCA ECC 2024

A.8.1.1 A.8.2.1 A.8.2.3 A.12.4.1 A.14.2.1

🔵 SAMA CSF

ID.AM-2 PR.AC-1 PR.AC-3 PR.PT-1 DE.CM-1

🟡 ISO 27001:2022

A.6.1.2 A.9.1.1 A.9.2.1 A.9.4.3 A.12.4.1 A.14.2.1

🔗 References & Sources 4

🔗

https://ucn9h68n9289.feishu.cn/wiki/X9PAw4i5kiPueKkZqCCcNVYZnnc?from=from_copylink

cna@vuldb.com

🔗

https://vuldb.com/submit/807944

cna@vuldb.com

🔗

https://vuldb.com/vuln/360865

cna@vuldb.com

🔗

https://vuldb.com/vuln/360865/cti

cna@vuldb.com

📊 CVSS Score

6.3

/ 10.0 — Medium

📊 CVSS Vector

CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:L/A:L

Attack VectorN — None / Network

Attack ComplexityL — Low / Local

Privileges RequiredL — Low / Local

User InteractionN — None / Network

ScopeU — Unchanged

ConfidentialityL — Low / Local

IntegrityL — Low / Local

AvailabilityL — Low / Local

📋 Quick Facts

Severity Medium

CVSS Score6.3

CWECWE-284

EPSS0.03%

Exploit No

Patch ✗ No

Published 2026-05-03

Source Feed nvd

🇸🇦 Saudi Risk Score

7.0

/ 10.0 — Saudi Risk

Priority: HIGH

🏷️ Tags

CWE-284

⚡ Actions

🔗 NVD Official Page ⚡ Exploit-DB Search 🐙 GitHub PoC Search 🎯 MITRE ATT&CK 📊 CVE Details

CVE-2026-7696

Introduce Yourself

Sign In Required