الثغرات ›

CVE-2026-25885

مرتفع ⚡ اختراق متاح

CWE-285 — نوع الضعف

                    نُشر: Feb 9, 2026                      ·  آخر تحديث: Feb 28, 2026                      ·  المصدر: NVD                

CVSS v3

7.5

🔗 NVD الرسمي

📄 الوصف (الإنجليزية)

PolarLearn is a free and open-source learning program. In 0-PRERELEASE-16 and earlier, the group chat WebSocket at wss://polarlearn.nl/api/v1/ws can be used without logging in. An unauthenticated client can subscribe to any group chat by providing a group UUID, and can also send messages to any group. The server accepts the message and stores it in the group’s chatContent, so this is not just a visual spam issue.

🤖 ملخص AI

PolarLearn versions 0-PRERELEASE-16 and earlier contain an authentication bypass vulnerability in the group chat WebSocket endpoint, allowing unauthenticated users to subscribe to and send messages to any group chat. This vulnerability enables unauthorized message injection and potential data manipulation in collaborative learning environments.

📄 الوصف (العربية)

ثغرة تجاوز المصادقة في نقطة نهاية WebSocket للدردشة الجماعية في PolarLearn تسمح للعملاء غير المصرح لهم بالاشتراك في أي دردشة جماعية وإرسال الرسائل باستخدام معرف UUID للمجموعة. يقبل الخادم الرسائل ويخزنها في محتوى الدردشة الجماعية، مما يؤدي إلى تلوث البيانات والتلاعب بسجلات الدردشة.

🤖 ملخص تنفيذي (AI)

إصدارات PolarLearn 0-PRERELEASE-16 والإصدارات الأقدم تحتوي على ثغرة تجاوز المصادقة في نقطة نهاية WebSocket للدردشة الجماعية، مما يسمح للمستخدمين غير المصرح لهم بالاشتراك في أي دردشة جماعية وإرسال الرسائل. تمكن هذه الثغرة من حقن الرسائل غير المصرح بها والتلاعب المحتمل بالبيانات في بيئات التعلم التعاوني.

🤖 التحليل الذكي آخر تحليل: May 4, 2026 15:02

🇸🇦 التأثير على المملكة العربية السعودية

Saudi Relevance: medium

🏢 القطاعات السعودية المتأثرة

education government healthcare

🎯 تقنيات MITRE ATT&CK

T1190 T1133 T1556

⚖️ درجة المخاطر السعودية (AI)

7.0

/ 10.0

🔧 Remediation Steps (English)

Upgrade PolarLearn to version 0-PRERELEASE-17 or later immediately. Implement mandatory WebSocket authentication checks before allowing any group chat subscription or message operations. Validate user credentials and group membership permissions on every WebSocket connection and message transmission. Apply network-level access controls to restrict WebSocket endpoints to authenticated users only.

🔧 خطوات المعالجة (العربية)

قم بترقية PolarLearn إلى الإصدار 0-PRERELEASE-17 أو أحدث فوراً. قم بتنفيذ فحوصات مصادقة WebSocket إلزامية قبل السماح بأي عملية اشتراك أو إرسال رسائل في الدردشة الجماعية. تحقق من بيانات اعتماد المستخدم وأذونات عضوية المجموعة في كل اتصال WebSocket وإرسال رسالة. طبق عناصر تحكم في الوصول على مستوى الشبكة لتقييد نقاط نهاية WebSocket للمستخدمين المصرح لهم فقط.

📋 خريطة الامتثال التنظيمي

🟢 NCA ECC 2024

5.1.1 5.1.2

🔵 SAMA CSF

AC-2 AC-3

🟡 ISO 27001:2022

A.9.2.1 A.9.4.3

🔗 المراجع والمصادر 2

🔗

https://github.com/polarnl/PolarLearn/commit/3ba588fda0d3f8e238483a20772719f27e52e79f

security-advisories@github.com

Patch

🔗

https://github.com/polarnl/PolarLearn/security/advisories/GHSA-gvjm-5pw7-6c8c

security-advisories@github.com

Exploit Vendor Advisory

📦 المنتجات المتأثرة 1 منتج

polarlearn:polarlearn:-

📊 CVSS Score

7.5

/ 10.0 — مرتفع

📊 CVSS Vector

CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:H/A:N

Attack VectorN — None / Network

Attack ComplexityL — Low / Local

Privileges RequiredN — None / Network

User InteractionN — None / Network

ScopeU — Unchanged

ConfidentialityN — None / Network

IntegrityH — High

AvailabilityN — None / Network

📋 حقائق سريعة

الخطورة مرتفع

CVSS Score7.5

CWECWE-285

EPSS0.04%

اختراق متاح ✓ نعم

تصحيح متاح ✓ نعم

تاريخ النشر 2026-02-09

المصدر nvd

المشاهدات 6

🇸🇦 درجة المخاطر السعودية

7.0

/ 10.0 — مخاطر السعودية

أولوية: HIGH

🏷️ الوسوم

exploit-available patch-available CWE-285

🏢 توجيهات البائع

🔗 https://github.com/polarnl/PolarLearn/security/advis...

⚡ إجراءات

🔗 NVD Official Page ⚡ Exploit-DB Search 🐙 GitHub PoC Search 🎯 MITRE ATT&CK 📊 CVE Details

💬 التعليقات

جارٍ التحميل

CVE-2026-25885

💬 التعليقات

عرّفنا بنفسك

تسجيل الدخول مطلوب