الثغرات ›

CVE-2026-22665

مرتفع

CWE-178 — نوع الضعف

                    نُشر: Apr 3, 2026                      ·  آخر تحديث: Apr 10, 2026                      ·  المصدر: NVD                

CVSS v3

8.1

🔗 NVD الرسمي

📄 الوصف (الإنجليزية)

prompts.chat prior to commit 1464475 contains an identity confusion vulnerability due to inconsistent case-sensitive and case-insensitive handling of usernames across write and read paths, allowing attackers to create case-variant usernames that bypass uniqueness checks. Attackers can exploit non-deterministic username resolution to impersonate victim accounts, replace profile content on canonical URLs, and inject attacker-controlled metadata and content across the platform.

🤖 ملخص AI

CVE-2026-22665 is a critical identity confusion vulnerability in prompts.chat that allows attackers to bypass username uniqueness checks through case-variant manipulation. Attackers can create accounts with usernames differing only in case (e.g., 'Admin' vs 'admin'), leading to account impersonation, profile hijacking, and unauthorized content injection. With no patch currently available and high CVSS score of 8.1, this poses immediate risk to users and organizations relying on prompts.chat for identity-dependent operations.

📄 الوصف (العربية)

🤖 التحليل الذكي آخر تحليل: Apr 26, 2026 06:54

🇸🇦 التأثير على المملكة العربية السعودية

This vulnerability primarily impacts Saudi organizations using prompts.chat for AI-driven content generation, customer service automation, and knowledge management. Most at-risk sectors include: Government agencies (NCA, CITC) using the platform for official communications; Banking and Financial Services (SAMA-regulated entities) for customer interaction systems; Telecommunications (STC, Mobily) for chatbot services; Healthcare providers using AI for patient engagement; and Educational institutions. The identity confusion vulnerability could lead to unauthorized access to sensitive organizational accounts, impersonation of official representatives, and injection of malicious content into customer-facing systems.

🏢 القطاعات السعودية المتأثرة

Government and Public Administration Banking and Financial Services Telecommunications Healthcare Education Energy and Utilities E-commerce and Retail

🎯 تقنيات MITRE ATT&CK

T1078 - Valid Accounts: Account impersonation through case-variant username creation T1087 - Account Discovery: Enumerating case-variant usernames to identify valid accounts T1098 - Account Manipulation: Modifying account properties and profile content T1589 - Gather Victim Identity Information: Collecting information about target usernames T1566 - Phishing: Impersonating legitimate users to conduct phishing attacks T1583 - Acquire Infrastructure: Creating attacker-controlled accounts mimicking legitimate ones

⚖️ درجة المخاطر السعودية (AI)

8.2

/ 10.0

🔧 Remediation Steps (English)

Immediate Actions:

1. Audit all user accounts on prompts.chat for case-variant duplicates (e.g., 'Admin', 'admin', 'ADMIN') and document findings

2. Disable or restrict account creation functionality until patch is available

3. Implement emergency access controls: require multi-factor authentication for all accounts, especially administrative ones

4. Monitor for suspicious login patterns and case-variant username creation attempts



Compensating Controls (until patch available):

5. Normalize all usernames to lowercase in authentication logic at application layer

6. Implement strict username validation: reject usernames that differ only in case from existing accounts

7. Add logging and alerting for any username resolution mismatches

8. Restrict profile modification permissions to verified identity verification methods

9. Implement content integrity checks on profile pages



Detection Rules:

10. Alert on login attempts using case-variant usernames

11. Monitor for profile content changes from unexpected IP addresses or sessions

12. Track database queries showing case-insensitive username matches

13. Flag any account creation attempts within 24 hours of similar usernames



Long-term:

14. Await and immediately apply vendor patch when available

15. Conduct full security audit of identity management systems post-patch

🔧 خطوات المعالجة (العربية)

الإجراءات الفورية:

1. تدقيق جميع حسابات المستخدمين على prompts.chat للبحث عن نسخ مكررة تختلف في حالة الأحرف وتوثيق النتائج

2. تعطيل أو تقييد وظيفة إنشاء الحسابات حتى يتوفر التصحيح

3. تطبيق ضوابط وصول طارئة: طلب المصادقة متعددة العوامل لجميع الحسابات خاصة الإدارية

4. مراقبة أنماط تسجيل الدخول المريبة ومحاولات إنشاء أسماء مستخدمين متغيرة الحالة

الضوابط البديلة (حتى يتوفر التصحيح):

5. تطبيع جميع أسماء المستخدمين إلى أحرف صغيرة في منطق المصادقة

6. تطبيق التحقق الصارم من اسم المستخدم: رفض الأسماء التي تختلف فقط في الحالة

7. إضافة تسجيل والتنبيهات لعدم تطابق دقة اسم المستخدم

8. تقييد صلاحيات تعديل الملف الشخصي

9. تطبيق فحوصات سلامة المحتوى على صفحات الملف الشخصي

قواعد الكشف:

10. التنبيه على محاولات تسجيل الدخول باستخدام أسماء مستخدمين متغيرة الحالة

11. مراقبة تغييرات محتوى الملف الشخصي من عناوين IP أو جلسات غير متوقعة

12. تتبع استعلامات قاعدة البيانات التي تظهر عدم تطابق حالة اسم المستخدم

13. وضع علامة على محاولات إنشاء حسابات خلال 24 ساعة من أسماء متشابهة

المدى الطويل:

14. انتظر وطبق التصحيح الفوري عند توفره

15. إجراء تدقيق أمني شامل لأنظمة إدارة الهوية بعد التصحيح

📋 خريطة الامتثال التنظيمي

🟢 NCA ECC 2024

ECC 2024 A.5.1.1 - User Access Management: Identity confusion violates user identification and authentication controls ECC 2024 A.5.2.1 - User Registration and De-registration: Inadequate username uniqueness validation ECC 2024 A.5.3.1 - Access Rights Review: Inability to accurately identify users compromises access control reviews ECC 2024 A.8.2.1 - User Identification and Authentication: Case-sensitive/insensitive handling creates authentication bypass

🔵 SAMA CSF

SAMA CSF ID.AM-1: Asset Management - Inability to accurately identify user assets and accounts SAMA CSF PR.AC-1: Access Control - Identity confusion undermines access control mechanisms SAMA CSF PR.AC-2: Physical and Logical Access - Authentication bypass through identity confusion SAMA CSF DE.CM-1: Detection and Analysis - Difficulty detecting unauthorized access due to identity ambiguity

🟡 ISO 27001:2022

ISO 27001:2022 A.5.1.1 - Policies for access control: Identity management policies inadequate ISO 27001:2022 A.5.2.1 - User registration and access provisioning: Username uniqueness not enforced ISO 27001:2022 A.5.3.1 - Management of privileged access rights: Cannot reliably identify privileged users ISO 27001:2022 A.8.2.1 - User identification and authentication: Authentication mechanism bypassed

🟣 PCI DSS v4.0.1

PCI DSS 2.1 - Default passwords and security parameters must be changed PCI DSS 7.1 - Limit access to system components by business need to know PCI DSS 8.1 - Assign unique ID to each person with computer access PCI DSS 8.2 - Ensure proper user authentication and password management

🔗 المراجع والمصادر 3

🔗

https://github.com/f/prompts.chat/commit/1464475df2698fb7ccd0cdbc382b0750466f891d

disclosure@vulncheck.com

🔗

https://github.com/f/prompts.chat/pull/1098

disclosure@vulncheck.com

🔗

https://www.vulncheck.com/advisories/prompts-chat-identity-confusion-via-case-sensitive...

disclosure@vulncheck.com

📊 CVSS Score

8.1

/ 10.0 — مرتفع

📊 CVSS Vector

CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:N

Attack VectorN — None / Network

Attack ComplexityL — Low / Local

Privileges RequiredL — Low / Local

User InteractionN — None / Network

ScopeU — Unchanged

ConfidentialityH — High

IntegrityH — High

AvailabilityN — None / Network

📋 حقائق سريعة

الخطورة مرتفع

CVSS Score8.1

CWECWE-178

EPSS0.03%

اختراق متاح لا

تصحيح متاح ✗ لا

تاريخ النشر 2026-04-03

المصدر nvd

المشاهدات 6

🇸🇦 درجة المخاطر السعودية

8.2

/ 10.0 — مخاطر السعودية

أولوية: CRITICAL

🏷️ الوسوم

CWE-178

⚡ إجراءات

🔗 NVD Official Page ⚡ Exploit-DB Search 🐙 GitHub PoC Search 🎯 MITRE ATT&CK 📊 CVE Details

💬 التعليقات

جارٍ التحميل

CVE-2026-22665

💬 التعليقات

عرّفنا بنفسك

تسجيل الدخول مطلوب