الثغرات ›

CVE-2026-25728

مرتفع ⚡ اختراق متاح

CWE-367 — نوع الضعف

                    نُشر: Feb 10, 2026                      ·  آخر تحديث: Feb 28, 2026                      ·  المصدر: NVD                

CVSS v3

7.5

🔗 NVD الرسمي

📄 الوصف (الإنجليزية)

ClipBucket v5 is an open source video sharing platform. Prior to 5.5.3 - #40, a Time-of-Check to Time-of-Use (TOCTOU) race condition vulnerability exists in ClipBucket's avatar and background image upload functionality. The application moves uploaded files to a web-accessible location before validating them, creating a window where an attacker can execute arbitrary PHP code before the file is deleted. The uploaded file was moved to a web-accessible path via move_uploaded_file(), then validated via ValidateImage(). If validation failed, the file was deleted via @unlink(). This vulnerability is fixed in 5.5.3 - #40.

🤖 ملخص AI

ClipBucket v5 contains a TOCTOU race condition in avatar and background image upload functionality that allows attackers to execute arbitrary PHP code before validation occurs. The vulnerability exists because files are moved to web-accessible locations before validation, creating an exploitable window for code execution.

📄 الوصف (العربية)

ثغرة تسابق زمني (TOCTOU) في ClipBucket v5 تؤثر على وظيفة تحميل صور الملف الشخصي والخلفية. يقوم التطبيق بنقل الملفات المرفوعة إلى مواقع يمكن الوصول إليها عبر الويب قبل التحقق من صحتها، مما يسمح للمهاجمين بتنفيذ كود PHP عشوائي خلال نافذة زمنية ضيقة.

🤖 ملخص تنفيذي (AI)

ClipBucket v5 يحتوي على ثغرة تسابق زمني في وظيفة تحميل الصور التي تسمح للمهاجمين بتنفيذ كود PHP عشوائي قبل التحقق. الثغرة موجودة لأن الملفات تُنقل إلى مواقع يمكن الوصول إليها عبر الويب قبل التحقق منها.

🤖 التحليل الذكي آخر تحليل: May 3, 2026 20:56

🇸🇦 التأثير على المملكة العربية السعودية

Saudi Relevance: high

🏢 القطاعات السعودية المتأثرة

telecom government healthcare

🎯 تقنيات MITRE ATT&CK

T1190 T1434 T1566

⚖️ درجة المخاطر السعودية (AI)

8.0

/ 10.0

🔧 Remediation Steps (English)

Upgrade ClipBucket to version 5.5.3 - #40 or later immediately. Implement file validation before moving uploaded files to web-accessible directories. Use atomic operations for file handling and validate file types, extensions, and content before any file system operations. Disable PHP execution in upload directories via web server configuration (.htaccess or nginx directives).

🔧 خطوات المعالجة (العربية)

قم بترقية ClipBucket إلى الإصدار 5.5.3 - #40 أو أحدث فوراً. قم بتنفيذ التحقق من الملفات قبل نقل الملفات المرفوعة إلى الدلائل التي يمكن الوصول إليها. استخدم العمليات الذرية للتعامل مع الملفات والتحقق من أنواع الملفات والامتدادات والمحتوى قبل أي عمليات نظام ملفات. عطّل تنفيذ PHP في دلائل التحميل عبر إعدادات خادم الويب.

📋 خريطة الامتثال التنظيمي

🟢 NCA ECC 2024

A.12.2.1 A.14.2.1 A.14.2.5

🔵 SAMA CSF

ID.AM-2 PR.DS-1 PR.DS-6

🟡 ISO 27001:2022

A.12.2.1 A.14.2.1 A.14.2.5

🔗 المراجع والمصادر 3

🔗

https://github.com/MacWarrior/clipbucket-v5/commit/09536e6e2ca6d69a2ee83190b588c0b8116d...

security-advisories@github.com

Patch

🔗

https://github.com/MacWarrior/clipbucket-v5/security/advisories/GHSA-xq7c-m5r2-9wqj

security-advisories@github.com

Exploit Mitigation Vendor Advisory

🔗

https://github.com/MacWarrior/clipbucket-v5/security/advisories/GHSA-xq7c-m5r2-9wqj

134c704f-9b21-4f2e-91b3-4a467353bcc0

Exploit Mitigation Vendor Advisory

📦 المنتجات المتأثرة 1 منتج

oxygenz:clipbucket

📊 CVSS Score

7.5

/ 10.0 — مرتفع

📊 CVSS Vector

CVSS:3.1/AV:N/AC:H/PR:L/UI:N/S:U/C:H/I:H/A:H

Attack VectorN — None / Network

Attack ComplexityH — High

Privileges RequiredL — Low / Local

User InteractionN — None / Network

ScopeU — Unchanged

ConfidentialityH — High

IntegrityH — High

AvailabilityH — High

📋 حقائق سريعة

الخطورة مرتفع

CVSS Score7.5

CWECWE-367

EPSS0.05%

اختراق متاح ✓ نعم

تصحيح متاح ✓ نعم

تاريخ النشر 2026-02-10

المصدر nvd

المشاهدات 6

🇸🇦 درجة المخاطر السعودية

8.0

/ 10.0 — مخاطر السعودية

أولوية: HIGH

🏷️ الوسوم

exploit-available patch-available CWE-367

🏢 توجيهات البائع

🔗 https://github.com/MacWarrior/clipbucket-v5/security... 🔗 https://github.com/MacWarrior/clipbucket-v5/security...

⚡ إجراءات

🔗 NVD Official Page ⚡ Exploit-DB Search 🐙 GitHub PoC Search 🎯 MITRE ATT&CK 📊 CVE Details

💬 التعليقات

جارٍ التحميل

CVE-2026-25728

💬 التعليقات

عرّفنا بنفسك

تسجيل الدخول مطلوب