الثغرات ›

CVE-2026-41929

متوسط

CWE-79 — نوع الضعف

                    نُشر: May 7, 2026                      ·  آخر تحديث: May 8, 2026                      ·  المصدر: NVD                

CVSS v3

6.1

🔗 NVD الرسمي

📄 الوصف (الإنجليزية)

Vvveb before 1.0.8.2 contains an unauthenticated reflected cross-site scripting vulnerability in the visual editor preview renderer that allows attackers to execute arbitrary JavaScript by manipulating the r query parameter and _component_ajax POST parameter. Attackers can craft a malicious link or auto-submitted form that causes victims to execute attacker-controlled JavaScript in the context of the Vvveb origin, as the gating function isEditor() performs no session, role, or token verification and the view handler injects raw HTML POST body content without sanitization.

🤖 ملخص AI

Vvveb before 1.0.8.2 contains an unauthenticated reflected XSS vulnerability in the visual editor preview renderer via the r query parameter and _component_ajax POST parameter. Attackers can execute arbitrary JavaScript without authentication by crafting malicious links or forms that bypass the unsanitized isEditor() gating function.

📄 الوصف (العربية)

تحتوي نسخ Vvveb السابقة للإصدار 1.0.8.2 على ثغرة انعكاس XSS غير مصرح بها في معاين محرر الويب البصري. تسمح الثغرة للمهاجمين بتنفيذ كود JavaScript عشوائي من خلال معاملات الاستعلام والمنشورات المعدلة دون الحاجة إلى المصادقة. تحدث المشكلة لأن وظيفة البوابة isEditor() لا تتحقق من الجلسة أو الأدوار أو الرموز، وتقوم معالج العرض بحقن محتوى جسم المنشور الخام دون تعقيم.

🤖 ملخص تنفيذي (AI)

إصدارات Vvveb السابقة للإصدار 1.0.8.2 تحتوي على ثغرة XSS غير مصرح بها في معاين محرر الويب البصري عبر معاملات الاستعلام والمنشورات. يمكن للمهاجمين تنفيذ كود JavaScript عشوائي دون المصادقة من خلال روابط أو نماذج ضارة تتجاوز وظيفة البوابة غير المعقمة.

🤖 التحليل الذكي آخر تحليل: May 23, 2026 08:48

🇸🇦 التأثير على المملكة العربية السعودية

Saudi Relevance: medium

🏢 القطاعات السعودية المتأثرة

government telecom

🎯 تقنيات MITRE ATT&CK

T1190 T1598 T1566

⚖️ درجة المخاطر السعودية (AI)

6.0

/ 10.0

🔧 Remediation Steps (English)

Upgrade Vvveb to version 1.0.8.2 or later immediately. Implement input validation and output encoding for all user-supplied parameters, particularly the r query parameter and _component_ajax POST parameter. Add proper authentication and authorization checks to the isEditor() function including session verification and CSRF token validation. Apply Content Security Policy (CSP) headers to prevent inline script execution. Sanitize all HTML content before rendering in the preview renderer.

🔧 خطوات المعالجة (العربية)

قم بترقية Vvveb إلى الإصدار 1.0.8.2 أو أحدث فوراً. طبق التحقق من صحة المدخلات والترميز الناتج لجميع المعاملات المزودة من قبل المستخدم، خاصة معامل الاستعلام r ومعامل المنشور _component_ajax. أضف فحوصات المصادقة والتفويض المناسبة لوظيفة isEditor() بما في ذلك التحقق من الجلسة والتحقق من رمز CSRF. طبق رؤوس سياسة أمان المحتوى (CSP) لمنع تنفيذ البرامج النصية المضمنة. قم بتعقيم جميع محتوى HTML قبل العرض في معاين المعاينة.

📋 خريطة الامتثال التنظيمي

🟢 NCA ECC 2024

A.14.2.1 A.14.2.5

🔵 SAMA CSF

AC-2 AC-3 SI-10

🟡 ISO 27001:2022

A.6.1.1 A.13.1.1 A.13.2.1

🔗 المراجع والمصادر 4

🔗

https://github.com/givanz/Vvveb/commit/54a9e846fb94192f1b31ae81d81d25c874662e6a

disclosure@vulncheck.com

🔗

https://github.com/givanz/Vvveb/releases/tag/1.0.8.2

disclosure@vulncheck.com

🔗

https://github.com/givanz/Vvveb/security/advisories/GHSA-wwmv-4g9g-p48g

disclosure@vulncheck.com

🔗

https://www.vulncheck.com/advisories/vvveb-unauthenticated-reflected-xss-via-visual-editor

disclosure@vulncheck.com

📊 CVSS Score

6.1

/ 10.0 — متوسط

📊 CVSS Vector

CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N

Attack VectorN — None / Network

Attack ComplexityL — Low / Local

Privileges RequiredN — None / Network

User InteractionR — Required

ScopeC — Changed

ConfidentialityL — Low / Local

IntegrityL — Low / Local

AvailabilityN — None / Network

📋 حقائق سريعة

الخطورة متوسط

CVSS Score6.1

CWECWE-79

EPSS0.03%

اختراق متاح لا

تصحيح متاح ✗ لا

تاريخ النشر 2026-05-07

المصدر nvd

المشاهدات 1

🇸🇦 درجة المخاطر السعودية

6.0

/ 10.0 — مخاطر السعودية

أولوية: MEDIUM

🏷️ الوسوم

CWE-79

⚡ إجراءات

🔗 NVD Official Page ⚡ Exploit-DB Search 🐙 GitHub PoC Search 🎯 MITRE ATT&CK 📊 CVE Details

CVE-2026-41929

عرّفنا بنفسك

تسجيل الدخول مطلوب