Vulnerabilities ›

CVE-2026-8786

Medium ⚡ Exploit Available

CWE-285 — Weakness Type

                    Published: May 18, 2026                      ·  Modified: May 21, 2026                      ·  Source: NVD                

CVSS v3

6.3

🔗 NVD Official

📄 Description (English)

A vulnerability has been found in Tencent WeKnora up to 0.3.6. Affected by this issue is the function getKnowledgeBaseForInitialization of the file internal/handler/initialization.go of the component Config API Endpoint. The manipulation of the argument kbId leads to authorization bypass. It is possible to initiate the attack remotely. The exploit has been disclosed to the public and may be used. The vendor was contacted early about this disclosure but did not respond in any way.

🤖 AI Executive Summary

Tencent WeKnora versions up to 0.3.6 contain an authorization bypass vulnerability in the Config API Endpoint's getKnowledgeBaseForInitialization function through manipulation of the kbId parameter. This allows remote attackers to bypass access controls and potentially access unauthorized knowledge base configurations.

📄 Description (Arabic)

تؤثر هذه الثغرة على مكون واجهة برمجة تطبيقات التكوين في Tencent WeKnora وتسمح بتجاوز آليات التفويض من خلال معالجة معامل معرف قاعدة المعرفة (kbId). تم الكشف عن الاستغلال علناً والبائع لم يستجب لإشعارات الكشف المبكر.

🤖 ملخص تنفيذي (AI)

تحتوي إصدارات Tencent WeKnora حتى 0.3.6 على ثغرة تجاوز التفويض في نقطة نهاية واجهة برمجة التطبيقات للتكوين من خلال معالجة معامل kbId. يمكن للمهاجمين البعيدين تجاوز عناصر التحكم في الوصول والوصول المحتمل إلى تكوينات قاعدة المعرفة غير المصرح بها.

🤖 AI Intelligence Analysis Analyzed: May 19, 2026 13:50

🇸🇦 Saudi Arabia Impact Assessment

Saudi Relevance: medium

🏢 Affected Saudi Sectors

government telecom banking

🎯 MITRE ATT&CK Techniques

T1078.001 T1548.002 T1190

⚖️ Saudi Risk Score (AI)

6.0

/ 10.0

🔧 Remediation Steps (English)

Update Tencent WeKnora to version 0.3.7 or later immediately. Implement strict input validation and authorization checks for the kbId parameter in the getKnowledgeBaseForInitialization function. Apply network segmentation to restrict access to the Config API Endpoint. Monitor access logs for suspicious kbId manipulation attempts. Consider implementing Web Application Firewall (WAF) rules to detect and block exploitation attempts.

🔧 خطوات المعالجة (العربية)

قم بتحديث Tencent WeKnora إلى الإصدار 0.3.7 أو أحدث على الفور. قم بتطبيق التحقق الصارم من المدخلات وفحوصات التفويض لمعامل kbId في وظيفة getKnowledgeBaseForInitialization. طبق تقسيم الشبكة لتقييد الوصول إلى نقطة نهاية واجهة برمجة تطبيقات التكوين. راقب سجلات الوصول للكشف عن محاولات معالجة kbId المريبة. فكر في تطبيق قواعد جدار الحماية لتطبيقات الويب للكشف عن محاولات الاستغلال وحجبها.

📋 Regulatory Compliance Mapping

🟢 NCA ECC 2024

5.1.1 5.1.2 5.2.1

🔵 SAMA CSF

AC-2 AC-3 AC-6

🟡 ISO 27001:2022

A.9.1.1 A.9.2.1 A.9.2.5

🔗 References & Sources 4

🔗

https://gist.github.com/YLChen-007/1cdc50418f29af7ae671466425e52c7b

cna@vuldb.com

Exploit Third Party Advisory

🔗

https://vuldb.com/submit/812172

cna@vuldb.com

Exploit Third Party Advisory VDB Entry

🔗

https://vuldb.com/vuln/364410

cna@vuldb.com

Third Party Advisory VDB Entry

🔗

https://vuldb.com/vuln/364410/cti

cna@vuldb.com

Permissions Required VDB Entry

📦 Affected Products / CPE 1 entries

tencent:weknora

📊 CVSS Score

6.3

/ 10.0 — Medium

📊 CVSS Vector

CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:L/A:L

Attack VectorN — None / Network

Attack ComplexityL — Low / Local

Privileges RequiredL — Low / Local

User InteractionN — None / Network

ScopeU — Unchanged

ConfidentialityL — Low / Local

IntegrityL — Low / Local

AvailabilityL — Low / Local

📋 Quick Facts

Severity Medium

CVSS Score6.3

CWECWE-285

EPSS0.03%

Exploit ✓ Yes

Patch ✗ No

Published 2026-05-18

Source Feed nvd

🇸🇦 Saudi Risk Score

6.0

/ 10.0 — Saudi Risk

Priority: MEDIUM

🏷️ Tags

CWE-285

⚡ Actions

🔗 NVD Official Page ⚡ Exploit-DB Search 🐙 GitHub PoC Search 🎯 MITRE ATT&CK 📊 CVE Details

CVE-2026-8786

Introduce Yourself

Sign In Required