الثغرات ›

CVE-2026-34822

متوسط

Endian Firewall version 3.3.25 and prior allow stored cross-site scripting (XSS) via the new_cert_name parameter to /manage/ca/certificate/. An authenticated attacker can inject arbitrary JavaScript t

CWE-79 — نوع الضعف

                    نُشر: Apr 2, 2026                      ·  آخر تحديث: Apr 5, 2026                      ·  المصدر: NVD                

CVSS v3

6.4

🔗 NVD الرسمي

📄 الوصف (الإنجليزية)

🤖 ملخص AI

Endian Firewall versions 3.3.25 and earlier contain a stored XSS vulnerability in the certificate management interface that allows authenticated attackers to inject malicious JavaScript. This vulnerability affects organizations using vulnerable Endian Firewall deployments for network security and management.

📄 الوصف (العربية)

تسمح ثغرة XSS المخزنة في واجهة إدارة شهادات Endian Firewall للمهاجمين المصرحين بحقن كود JavaScript ضار عبر معامل new_cert_name. يتم تنفيذ الكود المحقون عندما يعرض المستخدمون الآخرون الصفحة المتأثرة، مما قد يؤدي إلى سرقة الجلسات أو البيانات الحساسة.

🤖 ملخص تنفيذي (AI)

إصدارات Endian Firewall 3.3.25 وما قبلها تحتوي على ثغرة XSS مخزنة في واجهة إدارة الشهادات تسمح للمهاجمين المصرحين بحقن JavaScript ضار. تؤثر هذه الثغرة على المنظمات التي تستخدم نشرات Endian Firewall الضعيفة للأمان والإدارة.

🤖 التحليل الذكي آخر تحليل: May 16, 2026 13:43

🇸🇦 التأثير على المملكة العربية السعودية

Saudi Relevance: high

🏢 القطاعات السعودية المتأثرة

banking telecom energy government healthcare

🎯 تقنيات MITRE ATT&CK

T1190 T1598 T1566 T1204

⚖️ درجة المخاطر السعودية (AI)

6.0

/ 10.0

🔧 Remediation Steps (English)

Update Endian Firewall to version 3.3.26 or later immediately. Implement input validation and output encoding for the new_cert_name parameter. Restrict access to /manage/ca/certificate/ to authorized administrators only. Monitor for suspicious certificate creation activities and review audit logs for unauthorized modifications.

🔧 خطوات المعالجة (العربية)

قم بتحديث Endian Firewall إلى الإصدار 3.3.26 أو أحدث فوراً. قم بتنفيذ التحقق من صحة الإدخال وترميز الإخراج لمعامل new_cert_name. قيد الوصول إلى /manage/ca/certificate/ للمسؤولين المصرحين فقط. راقب الأنشطة المريبة في إنشاء الشهادات وراجع سجلات التدقيق للتعديلات غير المصرح بها.

📋 خريطة الامتثال التنظيمي

🟢 NCA ECC 2024

A.1.1.1 A.2.1.1 A.2.2.1 A.3.1.1

🔵 SAMA CSF

ID.BE-1 PR.AC-1 PR.AC-3 DE.CM-1

🟡 ISO 27001:2022

A.6.1.2 A.9.2.1 A.9.4.1 A.12.6.1

🔗 المراجع والمصادر 2

🔗

https://help.endian.com/hc/en-us/sections/360004371358-Community

disclosure@vulncheck.com

🔗

https://www.vulncheck.com/advisories/endian-firewall-manage-ca-certificate-new-cert-nam...

disclosure@vulncheck.com

📊 CVSS Score

6.4

/ 10.0 — متوسط

📊 CVSS Vector

CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:L/I:L/A:N

Attack VectorN — None / Network

Attack ComplexityL — Low / Local

Privileges RequiredL — Low / Local

User InteractionN — None / Network

ScopeC — Changed

ConfidentialityL — Low / Local

IntegrityL — Low / Local

AvailabilityN — None / Network

📋 حقائق سريعة

الخطورة متوسط

CVSS Score6.4

CWECWE-79

EPSS0.02%

اختراق متاح لا

تصحيح متاح ✗ لا

تاريخ النشر 2026-04-02

المصدر nvd

المشاهدات 5

🇸🇦 درجة المخاطر السعودية

6.0

/ 10.0 — مخاطر السعودية

أولوية: MEDIUM

🏷️ الوسوم

CWE-79

⚡ إجراءات

🔗 NVD Official Page ⚡ Exploit-DB Search 🐙 GitHub PoC Search 🎯 MITRE ATT&CK 📊 CVE Details

CVE-2026-34822

عرّفنا بنفسك

تسجيل الدخول مطلوب