الثغرات ›

CVE-2026-40029

مرتفع

CWE-78 — نوع الضعف

                    نُشر: Apr 8, 2026                      ·  آخر تحديث: Apr 15, 2026                      ·  المصدر: NVD                

CVSS v3

7.8

🔗 NVD الرسمي

📄 الوصف (الإنجليزية)

parseusbs before 1.9 contains an OS command injection vulnerability in parseUSBs.py where LNK file paths are passed unsanitized into an os.popen() shell command, allowing arbitrary command execution via crafted .lnk filenames containing shell metacharacters. An attacker can craft a .lnk filename with embedded shell metacharacters that execute arbitrary commands on the forensic examiner's machine during USB artifact parsing.

🤖 ملخص AI

CVE-2026-40029 is a critical OS command injection vulnerability in parseUSBs (versions before 1.9) that allows arbitrary command execution through crafted .lnk filenames. The vulnerability exists in parseUSBs.py where unsanitized LNK file paths are passed directly to os.popen() shell commands. This poses significant risk to Saudi forensic examiners, incident responders, and digital forensics labs who analyze USB artifacts during investigations. With no patch currently available, immediate compensating controls are essential.

📄 الوصف (العربية)

🤖 التحليل الذكي آخر تحليل: Apr 27, 2026 14:08

🇸🇦 التأثير على المملكة العربية السعودية

This vulnerability primarily impacts Saudi government agencies (NCA, GDPA), law enforcement (MOI), financial institutions conducting forensic investigations, and healthcare organizations performing incident response. Digital forensics labs, cybersecurity firms, and government IT security teams analyzing USB devices are at highest risk. Compromised forensic examiners' machines could lead to evidence tampering, investigation compromise, and potential lateral movement into sensitive government or banking networks. The risk is elevated in Saudi Arabia where centralized digital forensics capabilities serve multiple critical sectors.

🏢 القطاعات السعودية المتأثرة

Government (NCA, GDPA, MOI) Law Enforcement Banking and Financial Services Healthcare Cybersecurity and Digital Forensics Telecommunications Energy Sector

🎯 تقنيات MITRE ATT&CK

T1059.004 - Command and Scripting Interpreter: Unix Shell T1059.003 - Command and Scripting Interpreter: Windows Command Shell T1203 - Exploitation for Client Execution T1190 - Exploit Public-Facing Application T1195.002 - Supply Chain Compromise: Compromise Software Supply Chain T1547.001 - Boot or Logon Autostart Execution: Registry Run Keys / Startup Folder

⚖️ درجة المخاطر السعودية (AI)

8.2

/ 10.0

🔧 Remediation Steps (English)

IMMEDIATE ACTIONS:

1. Discontinue use of parseUSBs until patching is available

2. Isolate forensic analysis machines from production networks

3. Implement air-gapped USB analysis environments

4. Restrict parseUSBs execution to sandboxed/containerized environments only



COMPENSATING CONTROLS:

1. Use alternative USB forensics tools (FTK, EnCase, Autopsy) that properly sanitize inputs

2. Implement strict file naming validation before processing .lnk files

3. Execute parseUSBs only within Docker containers or VMs with minimal privileges

4. Disable shell metacharacter interpretation by using subprocess.run() with shell=False instead of os.popen()

5. Implement input validation regex to reject .lnk filenames containing: $, `, |, &, ;, (, ), <, >, \n, \r



DETECTION RULES:

1. Monitor for parseUSBs process execution with suspicious child processes

2. Alert on os.popen() calls with unsanitized user input in parseUSBs context

3. Log all .lnk file processing attempts with filename logging

4. Detect execution of unexpected commands spawned from parseUSBs process

5. Monitor for file modifications in forensic working directories during parseUSBs execution



PATCHING GUIDANCE:

1. Monitor parseUSBs GitHub repository for version 1.9+ release

2. Implement code review requiring input sanitization using shlex.quote() for all shell commands

3. Replace os.popen() with subprocess.run(shell=False) throughout codebase

🔧 خطوات المعالجة (العربية)

الإجراءات الفورية:

1. توقف استخدام parseUSBs حتى يتوفر التصحيح

2. عزل أجهزة التحليل الشرعي عن شبكات الإنتاج

3. تنفيذ بيئات تحليل USB معزولة بدون اتصال بالشبكة

4. تقييد تنفيذ parseUSBs إلى البيئات المحاكاة/المحتوية فقط

الضوابط التعويضية:

1. استخدام أدوات بديلة لتحليل USB (FTK, EnCase, Autopsy) التي تعقم المدخلات بشكل صحيح

2. تنفيذ التحقق الصارم من أسماء الملفات قبل معالجة ملفات .lnk

3. تنفيذ parseUSBs فقط داخل حاويات Docker أو أجهزة افتراضية بامتيازات محدودة

4. تعطيل تفسير أحرف shell الخاصة باستخدام subprocess.run() مع shell=False بدلاً من os.popen()

5. تنفيذ التحقق من صحة الإدخال باستخدام regex لرفض أسماء ملفات .lnk التي تحتوي على: $, `, |, &, ;, (, ), <, >, \n, \r

قواعد الكشف:

1. مراقبة تنفيذ عملية parseUSBs مع العمليات الفرعية المريبة

2. التنبيه على استدعاءات os.popen() مع المدخلات غير المعقمة في سياق parseUSBs

3. تسجيل جميع محاولات معالجة ملفات .lnk مع تسجيل اسم الملف

4. الكشف عن تنفيذ الأوامر غير المتوقعة المنتجة من عملية parseUSBs

5. مراقبة تعديلات الملفات في أدلة العمل الشرعي أثناء تنفيذ parseUSBs

إرشادات التصحيح:

1. مراقبة مستودع parseUSBs على GitHub لإصدار 1.9+

2. تنفيذ مراجعة الكود التي تتطلب تعقيم المدخلات باستخدام shlex.quote() لجميع أوامر shell

3. استبدال os.popen() بـ subprocess.run(shell=False) في جميع أنحاء قاعدة الكود

📋 خريطة الامتثال التنظيمي

🟢 NCA ECC 2024

ECC 2024 A.5.1.1 - Information Security Policies (incident response procedures) ECC 2024 A.5.2.1 - User Access Management (forensic tool access controls) ECC 2024 A.8.1.1 - Asset Management (forensic equipment inventory) ECC 2024 A.12.2.1 - Change Management (tool version control) ECC 2024 A.12.6.1 - Management of Technical Vulnerabilities (patch management)

🔵 SAMA CSF

SAMA CSF ID.AM-1 - Asset Management (forensic tools inventory) SAMA CSF ID.RA-1 - Risk Assessment (vulnerability identification) SAMA CSF PR.AC-1 - Access Control (forensic environment isolation) SAMA CSF PR.IP-1 - Information Protection Processes (input validation) SAMA CSF DE.CM-1 - Detection and Analysis (monitoring forensic processes)

🟡 ISO 27001:2022

ISO 27001:2022 A.5.1 - Policies for information security (incident response) ISO 27001:2022 A.8.1 - Asset management (forensic tools) ISO 27001:2022 A.8.2 - Data classification (evidence integrity) ISO 27001:2022 A.12.2 - Configuration management (tool versions) ISO 27001:2022 A.12.6 - Management of technical vulnerabilities ISO 27001:2022 A.14.2 - Information security in supplier relationships (tool vendors)

🟣 PCI DSS v4.0.1

PCI DSS 6.2 - Security patches for forensic tools used in payment card investigations PCI DSS 11.2 - Vulnerability scanning of forensic analysis systems

🔗 المراجع والمصادر 4

🔗

https://github.com/khyrenz/parseusbs/commit/99f05996494e7e41ea0c7e13145ba20eb793e46b

disclosure@vulncheck.com

Patch

🔗

https://github.com/khyrenz/parseusbs/pull/10

disclosure@vulncheck.com

Issue Tracking

🔗

https://mobasi.ai/sentinel

disclosure@vulncheck.com

Third Party Advisory

🔗

https://www.vulncheck.com/advisories/parseusbs-command-injection-via-crafted-lnk-filename

disclosure@vulncheck.com

Third Party Advisory

📦 المنتجات المتأثرة 1 منتج

khyrenz:parseusbs

📊 CVSS Score

7.8

/ 10.0 — مرتفع

📊 CVSS Vector

CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H

Attack VectorL — Low / Local

Attack ComplexityL — Low / Local

Privileges RequiredN — None / Network

User InteractionR — Required

ScopeU — Unchanged

ConfidentialityH — High

IntegrityH — High

AvailabilityH — High

📋 حقائق سريعة

الخطورة مرتفع

CVSS Score7.8

CWECWE-78

EPSS0.03%

اختراق متاح لا

تصحيح متاح ✗ لا

تاريخ النشر 2026-04-08

المصدر nvd

المشاهدات 5

🇸🇦 درجة المخاطر السعودية

8.2

/ 10.0 — مخاطر السعودية

أولوية: CRITICAL

🏷️ الوسوم

CWE-78

⚡ إجراءات

🔗 NVD Official Page ⚡ Exploit-DB Search 🐙 GitHub PoC Search 🎯 MITRE ATT&CK 📊 CVE Details

💬 التعليقات

جارٍ التحميل

CVE-2026-40029

💬 التعليقات

عرّفنا بنفسك

تسجيل الدخول مطلوب