الثغرات ›

CVE-2026-41467

متوسط

CWE-79 — نوع الضعف

                    نُشر: Apr 27, 2026                      ·  آخر تحديث: Apr 30, 2026                      ·  المصدر: NVD                

CVSS v3

5.4

🔗 NVD الرسمي

📄 الوصف (الإنجليزية)

ProjeQtor versions 7.0 through 12.4.3 contain a stored cross-site scripting vulnerability in the file upload functionality where the checkValidFileName() function fails to restrict HTML and HTM file uploads. Authenticated attackers can upload HTML files containing arbitrary JavaScript through the image upload or attachment endpoints, and any user accessing the uploaded file URL will execute the embedded JavaScript in their browser.

🤖 ملخص AI

ProjeQtor versions 7.0-12.4.3 contain a stored XSS vulnerability in file upload functionality that allows authenticated attackers to upload HTML files with malicious JavaScript. Users accessing these uploaded files will execute the embedded scripts in their browsers, potentially compromising their sessions and data.

📄 الوصف (العربية)

تفشل دالة checkValidFileName() في ProjeQtor في تقييد تحميل ملفات HTML و HTM، مما يسمح للمهاجمين المصرحين بتحميل ملفات تحتوي على JavaScript عشوائي. عند وصول أي مستخدم إلى عنوان URL للملف المحمل، سيتم تنفيذ JavaScript المضمن في متصفح المستخدم، مما قد يؤدي إلى سرقة الجلسات والبيانات الحساسة.

🤖 ملخص تنفيذي (AI)

إصدارات ProjeQtor من 7.0 إلى 12.4.3 تحتوي على ثغرة XSS مخزنة في وظيفة تحميل الملفات تسمح للمهاجمين المصرحين بتحميل ملفات HTML تحتوي على JavaScript ضار. سيؤدي وصول المستخدمين إلى هذه الملفات المحملة إلى تنفيذ البرامج النصية المضمنة في متصفحاتهم.

🤖 التحليل الذكي آخر تحليل: May 28, 2026 06:32

🇸🇦 التأثير على المملكة العربية السعودية

Saudi Relevance: high

🏢 القطاعات السعودية المتأثرة

government banking telecom energy healthcare

🎯 تقنيات MITRE ATT&CK

T1190 T1434 T1566

⚖️ درجة المخاطر السعودية (AI)

6.0

/ 10.0

🔧 Remediation Steps (English)

Upgrade ProjeQtor to version 12.4.4 or later immediately. Implement file upload restrictions to block HTML and HTM file uploads at the application level. Configure web server to serve uploaded files with Content-Disposition: attachment headers. Implement Content Security Policy (CSP) headers. Conduct security awareness training for users on risks of accessing untrusted file links.

🔧 خطوات المعالجة (العربية)

قم بترقية ProjeQtor إلى الإصدار 12.4.4 أو أحدث فوراً. طبق قيود على تحميل الملفات لحظر ملفات HTML و HTM على مستوى التطبيق. قم بتكوين خادم الويب لتقديم الملفات المحملة مع رؤوس Content-Disposition: attachment. طبق رؤوس سياسة أمان المحتوى (CSP). أجرِ تدريباً على الوعي الأمني للمستخدمين بشأن مخاطر الوصول إلى روابط الملفات غير الموثوقة.

📋 خريطة الامتثال التنظيمي

🟢 NCA ECC 2024

A.7.1.1 A.7.1.2 A.12.2.1

🔵 SAMA CSF

ID.AM-2 PR.DS-1 PR.IP-1

🟡 ISO 27001:2022

A.6.1.1 A.12.2.1 A.14.2.1

🔗 المراجع والمصادر 4

🔗

https://damiri.fr/en/cves/CVE-2026-41467

disclosure@vulncheck.com

🔗

https://gryfman.fr/cves/CVE-2026-41467

disclosure@vulncheck.com

🔗

https://www.projeqtor.com

disclosure@vulncheck.com

🔗

https://www.vulncheck.com/advisories/projeqtor-stored-xss-via-checkvalidfilename

disclosure@vulncheck.com

📊 CVSS Score

5.4

/ 10.0 — متوسط

📊 CVSS Vector

CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N

Attack VectorN — None / Network

Attack ComplexityL — Low / Local

Privileges RequiredL — Low / Local

User InteractionR — Required

ScopeC — Changed

ConfidentialityL — Low / Local

IntegrityL — Low / Local

AvailabilityN — None / Network

📋 حقائق سريعة

الخطورة متوسط

CVSS Score5.4

CWECWE-79

EPSS0.03%

اختراق متاح لا

تصحيح متاح ✗ لا

تاريخ النشر 2026-04-27

المصدر nvd

المشاهدات 1

🇸🇦 درجة المخاطر السعودية

6.0

/ 10.0 — مخاطر السعودية

أولوية: MEDIUM

🏷️ الوسوم

CWE-79

⚡ إجراءات

🔗 NVD Official Page ⚡ Exploit-DB Search 🐙 GitHub PoC Search 🎯 MITRE ATT&CK 📊 CVE Details

CVE-2026-41467

عرّفنا بنفسك

تسجيل الدخول مطلوب