الثغرات ›

CVE-2026-34664

متوسط

CWE-22 — نوع الضعف

                    نُشر: May 12, 2026                      ·  آخر تحديث: May 15, 2026                      ·  المصدر: NVD                

CVSS v3

6.3

🔗 NVD الرسمي

📄 الوصف (الإنجليزية)

Substance3D - Designer versions 15.1.0 and earlier are affected by an Improper Limitation of a Pathname to a Restricted Directory ('Path Traversal') vulnerability that could lead to arbitrary file system read. An attacker could exploit this vulnerability to access sensitive files and directories outside the intended access scope. Exploitation of this issue requires user interaction in that a victim must open a malicious file. Scope is changed.

🤖 ملخص AI

Adobe Substance3D Designer versions 15.1.0 and earlier contain a path traversal vulnerability (CVE-2026-34664) allowing arbitrary file system read access. The vulnerability requires user interaction to open a malicious file and has a CVSS score of 6.3 (medium). Currently, no patch is available, making immediate compensating controls essential for organizations using this design software.

📄 الوصف (العربية)

🤖 التحليل الذكي آخر تحليل: May 17, 2026 07:19

🇸🇦 التأثير على المملكة العربية السعودية

This vulnerability primarily impacts Saudi creative and design agencies, architectural firms, and government digital transformation initiatives using Substance3D Designer. High-risk sectors include: (1) Government agencies (NCA, CITC) using design tools for digital services; (2) Telecommunications companies (STC, Mobily) with design departments; (3) Energy sector (ARAMCO, SABIC) for technical visualization; (4) Financial institutions using design software for digital banking interfaces. The path traversal could expose sensitive project files, credentials, and organizational data stored on affected workstations.

🏢 القطاعات السعودية المتأثرة

Government (NCA, CITC, digital transformation initiatives) Telecommunications (STC, Mobily, Zain) Energy (ARAMCO, SABIC, visualization departments) Financial Services (digital banking design teams) Creative Agencies and Design Firms Architecture and Engineering Firms Media and Broadcasting

🎯 تقنيات MITRE ATT&CK

T1083 - File and Directory Discovery T1005 - Data from Local System T1040 - Traffic Capture or Redirection T1566.001 - Phishing: Spearphishing Attachment T1204.002 - User Execution: Malicious File

⚖️ درجة المخاطر السعودية (AI)

6.8

/ 10.0

🔧 Remediation Steps (English)

Immediate Actions:

1. Restrict Substance3D Designer usage to trusted, isolated environments until patching is available

2. Disable file opening from untrusted sources and implement email attachment scanning for .spp, .psb, and related design file formats

3. Educate users not to open design files from unknown or suspicious sources



Compensating Controls:

1. Implement application whitelisting to restrict Designer execution to specific directories

2. Deploy file integrity monitoring on sensitive directories (Documents, Desktop, shared drives) to detect unauthorized file access attempts

3. Use network segmentation to isolate workstations running Substance3D from sensitive systems

4. Enable audit logging for file system access and monitor for suspicious path traversal patterns

5. Implement Data Loss Prevention (DLP) rules to prevent exfiltration of sensitive files accessed through this vulnerability



Detection Rules:

1. Monitor for Substance3D Designer processes accessing files outside standard installation and user document directories

2. Alert on file access patterns containing "../" or "..\" sequences initiated by Designer process

3. Track unusual file read operations on system directories (/etc, /windows/system32, /etc/passwd equivalents)

4. Monitor for Designer process spawning child processes or network connections

🔧 خطوات المعالجة (العربية)

الإجراءات الفورية:

1. تقييد استخدام Substance3D Designer في بيئات موثوقة ومعزولة حتى يتوفر التصحيح

2. تعطيل فتح الملفات من مصادر غير موثوقة وتطبيق فحص المرفقات البريدية لصيغ الملفات المتعلقة

3. تثقيف المستخدمين بعدم فتح ملفات التصميم من مصادر غير معروفة أو مريبة

الضوابط التعويضية:

1. تطبيق قائمة التطبيقات المسموحة لتقييد تنفيذ Designer في مجلدات محددة

2. نشر مراقبة سلامة الملفات على المجلدات الحساسة للكشف عن محاولات الوصول غير المصرح بها

3. استخدام تقسيم الشبكة لعزل محطات العمل التي تقوم بتشغيل Substance3D عن الأنظمة الحساسة

4. تفعيل تسجيل التدقيق لوصول نظام الملفات ومراقبة أنماط اجتياز المسار المريبة

5. تطبيق قواعد منع فقدان البيانات لمنع تسرب الملفات الحساسة

قواعد الكشف:

1. مراقبة عمليات Substance3D Designer التي تصل إلى الملفات خارج مجلدات التثبيت والمستندات

2. التنبيه على أنماط الوصول إلى الملفات التي تحتوي على تسلسلات "../" أو "..\"

3. تتبع عمليات القراءة غير العادية على مجلدات النظام

4. مراقبة عمليات Designer التي تولد عمليات فرعية أو اتصالات شبكية

📋 خريطة الامتثال التنظيمي

🟢 NCA ECC 2024

ECC 2024 A.5.1.1 - Information Security Policies (user awareness on file handling) ECC 2024 A.8.1.1 - User Endpoint Devices (application control and monitoring) ECC 2024 A.8.2.1 - Privileged Access Rights (restrict Designer execution) ECC 2024 A.8.2.3 - Access Control (file system access restrictions) ECC 2024 A.12.4.1 - Event Logging (audit file access attempts)

🔵 SAMA CSF

SAMA CSF ID.AM-2 - Asset Management (inventory Substance3D installations) SAMA CSF PR.AC-1 - Access Control Policy (restrict file access) SAMA CSF PR.PT-1 - Protection Processes (application whitelisting) SAMA CSF DE.AE-1 - Anomalies and Events (detect path traversal attempts) SAMA CSF DE.CM-1 - Detection and Analysis (file integrity monitoring)

🟡 ISO 27001:2022

ISO 27001:2022 A.5.1 - Policies for information security (user training) ISO 27001:2022 A.8.1 - User endpoint devices (application control) ISO 27001:2022 A.8.2 - Privileged access rights (access restrictions) ISO 27001:2022 A.8.3 - Information access restriction (file system controls) ISO 27001:2022 A.12.4 - Logging (audit and accountability)

🔗 المراجع والمصادر 1

🔗

https://helpx.adobe.com/security/products/substance3d_designer/apsb26-52.html

psirt@adobe.com

Vendor Advisory

📦 المنتجات المتأثرة 1 منتج

adobe:substance_3d_designer

📊 CVSS Score

6.3

/ 10.0 — متوسط

📊 CVSS Vector

CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:C/C:H/I:N/A:N

Attack VectorL — Low / Local

Attack ComplexityL — Low / Local

Privileges RequiredN — None / Network

User InteractionR — Required

ScopeC — Changed

ConfidentialityH — High

IntegrityN — None / Network

AvailabilityN — None / Network

📋 حقائق سريعة

الخطورة متوسط

CVSS Score6.3

CWECWE-22

EPSS0.02%

اختراق متاح لا

تصحيح متاح ✗ لا

تاريخ النشر 2026-05-12

المصدر nvd

المشاهدات 1

🇸🇦 درجة المخاطر السعودية

6.8

/ 10.0 — مخاطر السعودية

أولوية: HIGH

🏷️ الوسوم

CWE-22

🏢 توجيهات البائع

🔗 https://helpx.adobe.com/security/products/substance3...

⚡ إجراءات

🔗 NVD Official Page ⚡ Exploit-DB Search 🐙 GitHub PoC Search 🎯 MITRE ATT&CK 📊 CVE Details

CVE-2026-34664

عرّفنا بنفسك

تسجيل الدخول مطلوب