الثغرات ›

CVE-2026-2952

مرتفع ⚡ اختراق متاح

CWE-77 — نوع الضعف

                    نُشر: Feb 22, 2026                      ·  آخر تحديث: Feb 28, 2026                      ·  المصدر: NVD                

CVSS v3

7.3

🔗 NVD الرسمي

📄 الوصف (الإنجليزية)

A flaw has been found in Vaelsys 4.1.0. This vulnerability affects unknown code of the file /tree/tree_server.php of the component HTTP POST Request Handler. This manipulation of the argument xajaxargs causes os command injection. The attack is possible to be carried out remotely. The exploit has been published and may be used. The vendor was contacted early about this disclosure but did not respond in any way.

🤖 ملخص AI

Vaelsys 4.1.0 contains an OS command injection vulnerability in the HTTP POST request handler via the xajaxargs parameter, allowing remote attackers to execute arbitrary commands. The vulnerability affects the /tree/tree_server.php file and has a published exploit with no vendor response.

📄 الوصف (العربية)

تحتوي نسخة Vaelsys 4.1.0 على ثغرة خطيرة في معالج طلبات HTTP POST حيث يمكن للمهاجمين حقن أوامر نظام التشغيل من خلال معامل xajaxargs غير المحقق من صحته. يمكن استغلال هذه الثغرة عن بعد دون الحاجة إلى مصادقة، مما يسمح بتنفيذ أوامر تعسفية بصلاحيات تطبيق الويب.

🤖 ملخص تنفيذي (AI)

يحتوي Vaelsys 4.1.0 على ثغرة حقن أوامر نظام التشغيل في معالج طلبات HTTP POST عبر معامل xajaxargs، مما يسمح للمهاجمين البعيدين بتنفيذ أوامر تعسفية. تؤثر الثغرة على ملف /tree/tree_server.php ويوجد استغلال منشور بدون رد من البائع.

🤖 التحليل الذكي آخر تحليل: May 5, 2026 02:32

🇸🇦 التأثير على المملكة العربية السعودية

Saudi Relevance: high

🏢 القطاعات السعودية المتأثرة

banking government healthcare

🎯 تقنيات MITRE ATT&CK

T1190 T1059 T1190

⚖️ درجة المخاطر السعودية (AI)

8.0

/ 10.0

🔧 Remediation Steps (English)

Immediately upgrade Vaelsys to a patched version if available. If no patch exists, disable or restrict access to the /tree/tree_server.php endpoint using web application firewall rules. Implement input validation and sanitization for the xajaxargs parameter. Monitor for suspicious POST requests containing command injection payloads. Consider implementing Web Application Firewall (WAF) rules to block OS command injection attempts.

🔧 خطوات المعالجة (العربية)

قم بالترقية الفورية إلى نسخة معالجة من Vaelsys إن توفرت. إذا لم تكن هناك رقعة، قم بتعطيل أو تقييد الوصول إلى نقطة النهاية /tree/tree_server.php باستخدام قواعد جدار حماية تطبيقات الويب. تطبيق التحقق من صحة المدخلات والتطهير لمعامل xajaxargs. مراقبة طلبات POST المريبة التي تحتوي على حمولات حقن الأوامر. فكر في تطبيق قواعد جدار حماية تطبيقات الويب (WAF) لحظر محاولات حقن أوامر نظام التشغيل.

📋 خريطة الامتثال التنظيمي

🟢 NCA ECC 2024

A.7.1.1 A.7.1.2 A.12.2.1 A.12.6.1

🔵 SAMA CSF

ID.BE-1 PR.AC-1 PR.AC-3 DE.CM-1

🟡 ISO 27001:2022

A.6.1.1 A.13.1.1 A.13.1.3 A.14.2.1

🔗 المراجع والمصادر 4

🔗

https://github.com/CVE-Hunter-Leo/CVE/issues/10

cna@vuldb.com

Exploit Issue Tracking Third Party Advisory

🔗

https://vuldb.com/?ctiid.347318

cna@vuldb.com

Permissions Required VDB Entry

🔗

https://vuldb.com/?id.347318

cna@vuldb.com

Third Party Advisory VDB Entry

🔗

https://vuldb.com/?submit.755166

cna@vuldb.com

Third Party Advisory VDB Entry

📦 المنتجات المتأثرة 1 منتج

vaelsys:vaelsys:4.1.0

📊 CVSS Score

7.3

/ 10.0 — مرتفع

📊 CVSS Vector

CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:L/A:L

Attack VectorN — None / Network

Attack ComplexityL — Low / Local

Privileges RequiredN — None / Network

User InteractionN — None / Network

ScopeU — Unchanged

ConfidentialityL — Low / Local

IntegrityL — Low / Local

AvailabilityL — Low / Local

📋 حقائق سريعة

الخطورة مرتفع

CVSS Score7.3

CWECWE-77

EPSS0.28%

اختراق متاح ✓ نعم

تصحيح متاح ✓ نعم

تاريخ النشر 2026-02-22

المصدر nvd

المشاهدات 6

🇸🇦 درجة المخاطر السعودية

8.0

/ 10.0 — مخاطر السعودية

أولوية: HIGH

🏷️ الوسوم

exploit-available CWE-77

⚡ إجراءات

🔗 NVD Official Page ⚡ Exploit-DB Search 🐙 GitHub PoC Search 🎯 MITRE ATT&CK 📊 CVE Details

💬 التعليقات

جارٍ التحميل

CVE-2026-2952

💬 التعليقات

عرّفنا بنفسك

تسجيل الدخول مطلوب