الثغرات ›

CVE-2026-7782

متوسط

CWE-285 — نوع الضعف

                    نُشر: May 4, 2026                      ·  آخر تحديث: May 7, 2026                      ·  المصدر: NVD                

CVSS v3

6.3

🔗 NVD الرسمي

📄 الوصف (الإنجليزية)

A vulnerability was detected in CodeCanyon Perfex CRM up to 3.4.1. This affects the function Clients::project of the file application/controllers/Clients.php of the component Tenant Handler. The manipulation of the argument ID results in authorization bypass. The attack may be performed from remote. The exploit is now public and may be used.

🤖 ملخص AI

Perfex CRM versions up to 3.4.1 contain an authorization bypass vulnerability in the Clients::project function that allows remote attackers to manipulate client IDs. This vulnerability has public exploits available and could enable unauthorized access to client project data.

📄 الوصف (العربية)

تؤثر هذه الثغرة على نظام إدارة علاقات العملاء Perfex CRM في الإصدارات حتى 3.4.1 حيث يمكن للمهاجمين تجاوز آليات التفويض بمعالجة معاملات ID. يسمح هذا بالوصول غير المصرح إليه إلى بيانات مشاريع العملاء والمعلومات الحساسة الأخرى.

🤖 ملخص تنفيذي (AI)

يحتوي Perfex CRM الإصدار 3.4.1 وما قبله على ثغرة تجاوز التفويض في وظيفة Clients::project تسمح للمهاجمين بالوصول غير المصرح إليه. تم نشر استغلالات عامة لهذه الثغرة مما يزيد من خطورتها على المنظمات السعودية.

🤖 التحليل الذكي آخر تحليل: May 18, 2026 20:07

🇸🇦 التأثير على المملكة العربية السعودية

Saudi Relevance: high

🏢 القطاعات السعودية المتأثرة

banking telecom government healthcare

🎯 تقنيات MITRE ATT&CK

T1548.002 T1078.001 T1190

⚖️ درجة المخاطر السعودية (AI)

7.0

/ 10.0

🔧 Remediation Steps (English)

Immediately upgrade Perfex CRM to version 3.4.2 or later. Implement input validation and sanitization for all ID parameters in the Clients controller. Apply principle of least privilege to tenant handlers and conduct security code review of authorization logic in application/controllers/Clients.php.

🔧 خطوات المعالجة (العربية)

قم بترقية Perfex CRM فوراً إلى الإصدار 3.4.2 أو أحدث. طبق التحقق من صحة المدخلات لجميع معاملات ID. راجع منطق التفويض في وحدة معالجة المستأجرين وتطبيق مبدأ أقل صلاحية ممكنة.

📋 خريطة الامتثال التنظيمي

🟢 NCA ECC 2024

5.1.1 5.1.2 5.2.1

🔵 SAMA CSF

AC-3 AC-5 SI-10

🟡 ISO 27001:2022

A.9.1.1 A.9.2.1 A.9.4.3

🔗 المراجع والمصادر 4

🔗

https://bytium.com/insights/perfex-crm-3-4-1-cross-tenant-broken-access-control-on-proj...

cna@vuldb.com

🔗

https://vuldb.com/submit/807683

cna@vuldb.com

🔗

https://vuldb.com/vuln/360979

cna@vuldb.com

🔗

https://vuldb.com/vuln/360979/cti

cna@vuldb.com

📊 CVSS Score

6.3

/ 10.0 — متوسط

📊 CVSS Vector

CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:L/A:L

Attack VectorN — None / Network

Attack ComplexityL — Low / Local

Privileges RequiredL — Low / Local

User InteractionN — None / Network

ScopeU — Unchanged

ConfidentialityL — Low / Local

IntegrityL — Low / Local

AvailabilityL — Low / Local

📋 حقائق سريعة

الخطورة متوسط

CVSS Score6.3

CWECWE-285

EPSS0.04%

اختراق متاح لا

تصحيح متاح ✗ لا

تاريخ النشر 2026-05-04

المصدر nvd

المشاهدات 2

🇸🇦 درجة المخاطر السعودية

7.0

/ 10.0 — مخاطر السعودية

أولوية: HIGH

🏷️ الوسوم

CWE-285

⚡ إجراءات

🔗 NVD Official Page ⚡ Exploit-DB Search 🐙 GitHub PoC Search 🎯 MITRE ATT&CK 📊 CVE Details

CVE-2026-7782

عرّفنا بنفسك

تسجيل الدخول مطلوب