الثغرات ›

CVE-2026-9349

متوسط

CWE-200 — نوع الضعف

                    نُشر: May 24, 2026                      ·  آخر تحديث: May 27, 2026                      ·  المصدر: NVD                

CVSS v3

5.3

🔗 NVD الرسمي

📄 الوصف (الإنجليزية)

A vulnerability was determined in calcom cal.diy up to 4.9.4. Affected by this issue is the function getServerSideProps of the file apps/web/modules/bookings/views/bookings-single-view.getServerSideProps.tsx of the component Generic React API. This manipulation of the argument cancelledBy/rescheduledBy causes information disclosure. The attack can be initiated remotely. The exploit has been publicly disclosed and may be utilized. The vendor was contacted early about this disclosure but did not respond in any way.

🤖 ملخص AI

Cal.com versions up to 4.9.4 contain an information disclosure vulnerability in the booking view component where the cancelledBy/rescheduledBy parameters expose sensitive data. Remote attackers can exploit this publicly disclosed vulnerability without authentication to retrieve confidential booking information.

📄 الوصف (العربية)

تم اكتشاف ثغرة كشف معلومات في Cal.com حتى الإصدار 4.9.4 في دالة getServerSideProps حيث يمكن للمهاجمين التلاعب بمعاملات cancelledBy و rescheduledBy للوصول إلى بيانات حساسة. تم الكشف عن هذه الثغرة علناً ويمكن استغلالها عن بعد دون الحاجة إلى مصادقة.

🤖 ملخص تنفيذي (AI)

🤖 التحليل الذكي آخر تحليل: May 29, 2026 06:41

🇸🇦 التأثير على المملكة العربية السعودية

Saudi Relevance: high

🏢 القطاعات السعودية المتأثرة

telecom healthcare government

🎯 تقنيات MITRE ATT&CK

T1040 T1041 T1020

⚖️ درجة المخاطر السعودية (AI)

5.0

/ 10.0

🔧 Remediation Steps (English)

Upgrade Cal.com to version 4.9.5 or later immediately. Implement input validation and sanitization for cancelledBy and rescheduledBy parameters. Apply Web Application Firewall rules to restrict access to sensitive booking endpoints. Monitor access logs for suspicious parameter manipulation attempts.

🔧 خطوات المعالجة (العربية)

قم بترقية Cal.com إلى الإصدار 4.9.5 أو أحدث فوراً. طبق التحقق من صحة المدخلات والتنظيف للمعاملات cancelledBy و rescheduledBy. طبق قواعد جدار الحماية لتقييد الوصول إلى نقاط نهاية الحجوزات الحساسة. راقب سجلات الوصول للكشف عن محاولات معالجة معاملات مريبة.

📋 خريطة الامتثال التنظيمي

🟢 NCA ECC 2024

A.7.1.1 A.7.2.1 A.8.2.1

🔵 SAMA CSF

ID.RA-1 PR.AC-1 PR.DS-1

🟡 ISO 27001:2022

A.5.1.1 A.6.1.1 A.13.1.1

🔗 المراجع والمصادر 4

🔗

https://gist.github.com/YLChen-007/b59c44d1550c4b0f373ca4eb1c150994

cna@vuldb.com

🔗

https://vuldb.com/submit/812177

cna@vuldb.com

🔗

https://vuldb.com/vuln/365312

cna@vuldb.com

🔗

https://vuldb.com/vuln/365312/cti

cna@vuldb.com

📊 CVSS Score

5.3

/ 10.0 — متوسط

📊 CVSS Vector

CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:N

Attack VectorN — None / Network

Attack ComplexityL — Low / Local

Privileges RequiredN — None / Network

User InteractionN — None / Network

ScopeU — Unchanged

ConfidentialityL — Low / Local

IntegrityN — None / Network

AvailabilityN — None / Network

📋 حقائق سريعة

الخطورة متوسط

CVSS Score5.3

CWECWE-200

EPSS0.03%

اختراق متاح لا

تصحيح متاح ✗ لا

تاريخ النشر 2026-05-24

المصدر nvd

المشاهدات 2

🇸🇦 درجة المخاطر السعودية

5.0

/ 10.0 — مخاطر السعودية

أولوية: MEDIUM

🏷️ الوسوم

CWE-200

⚡ إجراءات

🔗 NVD Official Page ⚡ Exploit-DB Search 🐙 GitHub PoC Search 🎯 MITRE ATT&CK 📊 CVE Details

CVE-2026-9349

عرّفنا بنفسك

تسجيل الدخول مطلوب