Vulnerabilities ›

CVE-2026-8737

Medium

CWE-287 — Weakness Type

                    Published: May 17, 2026                      ·  Modified: May 20, 2026                      ·  Source: NVD                

CVSS v3

5.3

🔗 NVD Official

📄 Description (English)

A weakness has been identified in Sanluan PublicCMS 5.202506.d. This issue affects the function execute of the file publiccms-trade/src/main/java/com/publiccms/views/directive/trade/TradeAddressListDirective.java of the component Trade Address Query Handler. Executing a manipulation of the argument userId/id can lead to missing authentication. The attack may be launched remotely. The exploit has been made available to the public and could be used for attacks. The vendor was contacted early about this disclosure but did not respond in any way.

🤖 AI Executive Summary

Sanluan PublicCMS 5.202506.d contains an authentication bypass vulnerability in the Trade Address Query Handler that allows remote attackers to manipulate userId/id parameters to bypass authentication checks. This vulnerability has public exploits available and affects the trade address query functionality.

📄 Description (Arabic)

تم تحديد ضعف في Sanluan PublicCMS الإصدار 5.202506.d يؤثر على وظيفة معالج استعلام عنوان التجارة. يمكن للمهاجمين البعيدين استغلال هذا الضعف من خلال معالجة معاملات userId/id لتجاوز آليات المصادقة والوصول غير المصرح به إلى بيانات العناوين التجارية.

🤖 ملخص تنفيذي (AI)

Sanluan PublicCMS 5.202506.d يحتوي على ثغرة تجاوز المصادقة في معالج استعلام عنوان التجارة التي تسمح للمهاجمين البعيدين بمعالجة معاملات userId/id لتجاوز فحوصات المصادقة. تتوفر استغلالات عامة لهذه الثغرة وتؤثر على وظيفة استعلام عنوان التجارة.

🤖 AI Intelligence Analysis Analyzed: May 29, 2026 09:43

🇸🇦 Saudi Arabia Impact Assessment

Saudi Relevance: high

🏢 Affected Saudi Sectors

banking telecom energy government healthcare

🎯 MITRE ATT&CK Techniques

T1078.001 T1110.001 T1190

⚖️ Saudi Risk Score (AI)

6.0

/ 10.0

🔧 Remediation Steps (English)

Immediately update Sanluan PublicCMS to a patched version beyond 5.202506.d. Implement input validation and sanitization for userId and id parameters in the TradeAddressListDirective component. Apply network-level access controls to restrict access to the trade address query functionality. Monitor logs for suspicious parameter manipulation attempts. Consider implementing Web Application Firewall (WAF) rules to detect and block authentication bypass attempts.

🔧 خطوات المعالجة (العربية)

قم بتحديث Sanluan PublicCMS فوراً إلى إصدار مصحح يتجاوز 5.202506.d. قم بتطبيق التحقق من صحة المدخلات وتنظيفها لمعاملات userId و id في مكون TradeAddressListDirective. طبق عناصر التحكم في الوصول على مستوى الشبكة لتقييد الوصول إلى وظيفة استعلام عنوان التجارة. راقب السجلات للكشف عن محاولات معالجة المعاملات المريبة. فكر في تطبيق قواعد جدار حماية تطبيقات الويب (WAF) للكشف عن محاولات تجاوز المصادقة وحجبها.

📋 Regulatory Compliance Mapping

🟢 NCA ECC 2024

5.1.1 5.1.2 5.2.1

🔵 SAMA CSF

AC-2 AC-3 AC-6

🟡 ISO 27001:2022

A.9.1.1 A.9.2.1 A.9.4.3

🔗 References & Sources 4

🔗

https://vuldb.com/submit/809885

cna@vuldb.com

🔗

https://vuldb.com/vuln/364325

cna@vuldb.com

🔗

https://vuldb.com/vuln/364325/cti

cna@vuldb.com

🔗

https://vulnplus-note.wetolink.com/share/VqmGhijVKGBM

cna@vuldb.com

📊 CVSS Score

5.3

/ 10.0 — Medium

📊 CVSS Vector

CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:N

Attack VectorN — None / Network

Attack ComplexityL — Low / Local

Privileges RequiredN — None / Network

User InteractionN — None / Network

ScopeU — Unchanged

ConfidentialityL — Low / Local

IntegrityN — None / Network

AvailabilityN — None / Network

📋 Quick Facts

Severity Medium

CVSS Score5.3

CWECWE-287

EPSS0.08%

Exploit No

Patch ✗ No

Published 2026-05-17

Source Feed nvd

🇸🇦 Saudi Risk Score

6.0

/ 10.0 — Saudi Risk

Priority: MEDIUM

🏷️ Tags

CWE-287

⚡ Actions

🔗 NVD Official Page ⚡ Exploit-DB Search 🐙 GitHub PoC Search 🎯 MITRE ATT&CK 📊 CVE Details

CVE-2026-8737

Introduce Yourself

Sign In Required