الثغرات ›

CVE-2026-22682

مرتفع

CWE-863 — نوع الضعف

                    نُشر: Apr 7, 2026                      ·  آخر تحديث: Apr 14, 2026                      ·  المصدر: NVD                

CVSS v3

7.1

🔗 NVD الرسمي

📄 الوصف (الإنجليزية)

OpenHarness prior to commit 166fcfe contains an improper access control vulnerability in built-in file tools due to inconsistent parameter handling in permission enforcement, allowing attackers who can influence agent tool execution to read arbitrary local files outside the intended repository scope. Attackers can exploit the path parameter not being passed to the PermissionChecker in read_file, write_file, edit_file, and notebook_edit tools to bypass deny rules and access sensitive files such as configuration files, credentials, and SSH material, or create and overwrite files in restricted host paths in full_auto mode.

🤖 ملخص AI

OpenHarness contains an improper access control vulnerability in file tools that allows attackers to bypass permission checks and read/write arbitrary files outside the intended scope. The vulnerability affects read_file, write_file, edit_file, and notebook_edit tools due to inconsistent parameter handling in permission enforcement.

📄 الوصف (العربية)

يحتوي OpenHarness على ثغرة في التحكم بالوصول تؤثر على أدوات معالجة الملفات المدمجة. يمكن للمهاجمين الذين يمكنهم التأثير على تنفيذ أدوات الوكيل تجاوز قواعد الحظر والوصول إلى ملفات حساسة مثل ملفات التكوين والبيانات الاعتماديّة ومواد SSH. الثغرة تنتج عن عدم تمرير معامل المسار إلى PermissionChecker في عدة أدوات.

🤖 ملخص تنفيذي (AI)

OpenHarness prior to commit 166fcfe has an access control flaw in file manipulation tools that permits attackers to circumvent security restrictions and access sensitive files like credentials and SSH keys. The vulnerability stems from path parameters not being validated through the PermissionChecker, enabling unauthorized file operations.

🤖 التحليل الذكي آخر تحليل: May 10, 2026 06:19

🇸🇦 التأثير على المملكة العربية السعودية

Saudi Relevance: high

🏢 القطاعات السعودية المتأثرة

government telecom banking energy

🎯 تقنيات MITRE ATT&CK

T1083 T1552 T1021

⚖️ درجة المخاطر السعودية (AI)

7.0

/ 10.0

🔧 Remediation Steps (English)

Upgrade OpenHarness to commit 166fcfe or later immediately. Implement strict input validation for all file path parameters in read_file, write_file, edit_file, and notebook_edit tools. Enforce permission checks through PermissionChecker for all path parameters. Restrict agent tool execution capabilities and monitor file access patterns for suspicious activity.

🔧 خطوات المعالجة (العربية)

قم بترقية OpenHarness إلى الإصدار 166fcfe أو أحدث فوراً. طبق التحقق الصارم من صحة المدخلات لجميع معاملات مسارات الملفات. فرض فحوصات الأذونات من خلال PermissionChecker لجميع معاملات المسارات. قيد قدرات تنفيذ أدوات الوكيل ومراقبة أنماط الوصول للملفات للكشف عن النشاط المريب.

📋 خريطة الامتثال التنظيمي

🟢 NCA ECC 2024

5.1.1 5.1.2

🔵 SAMA CSF

AC-3 AC-6

🟡 ISO 27001:2022

A.9.1.1 A.9.2.1 A.9.4.3

🔗 المراجع والمصادر 3

🔗

https://github.com/HKUDS/OpenHarness/commit/166fcfefb7614dbac51bd061f56542725b0298e9

disclosure@vulncheck.com

🔗

https://github.com/HKUDS/OpenHarness/pull/32

disclosure@vulncheck.com

🔗

https://www.vulncheck.com/advisories/openharness-improper-access-control-via-file-tools

disclosure@vulncheck.com

📊 CVSS Score

7.1

/ 10.0 — مرتفع

📊 CVSS Vector

CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:N

Attack VectorL — Low / Local

Attack ComplexityL — Low / Local

Privileges RequiredL — Low / Local

User InteractionN — None / Network

ScopeU — Unchanged

ConfidentialityH — High

IntegrityH — High

AvailabilityN — None / Network

📋 حقائق سريعة

الخطورة مرتفع

CVSS Score7.1

CWECWE-863

EPSS0.01%

اختراق متاح لا

تصحيح متاح ✗ لا

تاريخ النشر 2026-04-07

المصدر nvd

المشاهدات 5

🇸🇦 درجة المخاطر السعودية

7.0

/ 10.0 — مخاطر السعودية

أولوية: HIGH

🏷️ الوسوم

CWE-863

⚡ إجراءات

🔗 NVD Official Page ⚡ Exploit-DB Search 🐙 GitHub PoC Search 🎯 MITRE ATT&CK 📊 CVE Details

💬 التعليقات

جارٍ التحميل

CVE-2026-22682

💬 التعليقات

عرّفنا بنفسك

تسجيل الدخول مطلوب