Vulnerabilities ›

CVE-2021-47978

Medium

CWE-98 — Weakness Type

                    Published: May 16, 2026                      ·  Modified: May 19, 2026                      ·  Source: NVD                

CVSS v3

6.2

🔗 NVD Official

📄 Description (English)

ProcessMaker 3.5.4 contains a local file inclusion vulnerability that allows unauthenticated attackers to read arbitrary files by exploiting improper path traversal validation. Attackers can send requests with directory traversal sequences to access sensitive system files like /etc/passwd without authentication.

🤖 AI Executive Summary

ProcessMaker 3.5.4 suffers from a local file inclusion vulnerability allowing unauthenticated attackers to read arbitrary files through path traversal exploitation. Sensitive system files such as /etc/passwd can be accessed without authentication, potentially exposing critical configuration data.

📄 Description (Arabic)

تحتوي نسخة ProcessMaker 3.5.4 على ثغرة في التحقق من صحة المسارات تسمح بالوصول غير المصرح إلى ملفات النظام الحساسة. يمكن للمهاجمين استخدام تسلسلات اجتياز الدليل (مثل ../) للوصول إلى ملفات خارج الدليل المقصود. هذا يشكل خطراً كبيراً على سرية البيانات والامتثال التنظيمي.

🤖 ملخص تنفيذي (AI)

ProcessMaker 3.5.4 يحتوي على ثغرة شمول ملفات محلية تسمح للمهاجمين غير المصرحين بقراءة ملفات عشوائية من خلال استغلال التحقق الضعيف من المسارات. يمكن الوصول إلى ملفات النظام الحساسة مثل /etc/passwd بدون مصادقة.

🤖 AI Intelligence Analysis Analyzed: May 22, 2026 22:40

🇸🇦 Saudi Arabia Impact Assessment

Saudi Relevance: high

🏢 Affected Saudi Sectors

government banking healthcare telecom

🎯 MITRE ATT&CK Techniques

T1083 T1190 T1566

⚖️ Saudi Risk Score (AI)

7.0

/ 10.0

🔧 Remediation Steps (English)

Upgrade ProcessMaker to version 3.5.5 or later immediately. Implement strict input validation and path canonicalization to prevent directory traversal attacks. Deploy Web Application Firewall (WAF) rules to block path traversal patterns. Restrict file system access permissions and disable directory listing. Monitor access logs for suspicious traversal attempts.

🔧 خطوات المعالجة (العربية)

قم بترقية ProcessMaker إلى الإصدار 3.5.5 أو أحدث فوراً. طبق التحقق الصارم من المدخلات وتطبيع المسارات لمنع هجمات اجتياز الدليل. نشر قواعد جدار حماية تطبيقات الويب لحجب أنماط اجتياز المسارات. قيد صلاحيات الوصول إلى نظام الملفات وعطل قائمة الدليل. راقب سجلات الوصول للكشف عن محاولات اجتياز مريبة.

📋 Regulatory Compliance Mapping

🟢 NCA ECC 2024

A.14.2.1 A.14.2.5

🔵 SAMA CSF

CC6.1 CC6.2 CC7.2

🟡 ISO 27001:2022

A.14.2.1 A.14.2.5 A.13.1.3

🔗 References & Sources 3

🔗

https://www.exploit-db.com/exploits/50229

disclosure@vulncheck.com

🔗

https://www.processmaker.com/

disclosure@vulncheck.com

🔗

https://www.vulncheck.com/advisories/processmaker-local-file-inclusion-via-path-traversal

disclosure@vulncheck.com

📊 CVSS Score

6.2

/ 10.0 — Medium

📊 CVSS Vector

CVSS:3.1/AV:L/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N

Attack VectorL — Low / Local

Attack ComplexityL — Low / Local

Privileges RequiredN — None / Network

User InteractionN — None / Network

ScopeU — Unchanged

ConfidentialityH — High

IntegrityN — None / Network

AvailabilityN — None / Network

📋 Quick Facts

Severity Medium

CVSS Score6.2

CWECWE-98

EPSS0.04%

Exploit No

Patch ✗ No

Published 2026-05-16

Source Feed nvd

🇸🇦 Saudi Risk Score

7.0

/ 10.0 — Saudi Risk

Priority: HIGH

🏷️ Tags

CWE-98

⚡ Actions

🔗 NVD Official Page ⚡ Exploit-DB Search 🐙 GitHub PoC Search 🎯 MITRE ATT&CK 📊 CVE Details

CVE-2021-47978

Introduce Yourself

Sign In Required