الثغرات ›

CVE-2026-48246

متوسط

CWE-295 — نوع الضعف

                    نُشر: May 21, 2026                      ·  آخر تحديث: May 24, 2026                      ·  المصدر: NVD                

CVSS v3

5.9

🔗 NVD الرسمي

📄 الوصف (الإنجليزية)

Open ISES Tickets before 3.44.2 disables TLS certificate verification in ajax/reports.php by setting CURLOPT_SSL_VERIFYPEER to false (and not setting CURLOPT_SSL_VERIFYHOST) when issuing outbound HTTPS requests for Google Maps Directions API lookups during incident report generation. An attacker positioned on the network path between the server and the remote endpoint can present a forged certificate to intercept, monitor, or modify the request and response, including any API keys or session-bearing data in transit.

🤖 ملخص AI

Open ISES Tickets before version 3.44.2 disables TLS certificate verification in ajax/reports.php when making HTTPS requests to Google Maps API, allowing network-based attackers to intercept and modify traffic. This vulnerability exposes API keys and sensitive session data to man-in-the-middle attacks during incident report generation.

📄 الوصف (العربية)

يقوم Open ISES Tickets بتعطيل التحقق من شهادات TLS في ملف ajax/reports.php من خلال تعيين CURLOPT_SSL_VERIFYPEER إلى false عند إصدار طلبات HTTPS لواجهة برمجة تطبيقات Google Maps Directions. يمكن لمهاجم موضوع على مسار الشبكة بين الخادم والنقطة النهائية البعيدة تقديم شهادة مزيفة لاعتراض أو مراقبة أو تعديل الطلب والاستجابة.

🤖 ملخص تنفيذي (AI)

إصدارات Open ISES Tickets السابقة للإصدار 3.44.2 تعطل التحقق من شهادات TLS في ajax/reports.php عند إجراء طلبات HTTPS إلى Google Maps API، مما يسمح للمهاجمين بالتقاط وتعديل حركة المرور. يعرض هذا الضعف مفاتيح API والبيانات الحساسة للجلسة لهجمات الوسيط.

🤖 التحليل الذكي آخر تحليل: May 24, 2026 13:06

🇸🇦 التأثير على المملكة العربية السعودية

Saudi Relevance: high

🏢 القطاعات السعودية المتأثرة

government telecom energy healthcare

🎯 تقنيات MITRE ATT&CK

T1557.002 T1040 T1187

⚖️ درجة المخاطر السعودية (AI)

7.0

/ 10.0

🔧 Remediation Steps (English)

Upgrade Open ISES Tickets to version 3.44.2 or later immediately. Verify CURLOPT_SSL_VERIFYPEER and CURLOPT_SSL_VERIFYHOST are properly enabled in all HTTPS requests. Implement network segmentation and monitor outbound HTTPS traffic for anomalies. Review and rotate any exposed API keys used for Google Maps integration.

🔧 خطوات المعالجة (العربية)

قم بترقية Open ISES Tickets إلى الإصدار 3.44.2 أو أحدث على الفور. تحقق من تفعيل CURLOPT_SSL_VERIFYPEER و CURLOPT_SSL_VERIFYHOST بشكل صحيح في جميع طلبات HTTPS. قم بتنفيذ تقسيم الشبكة ومراقبة حركة HTTPS الصادرة للكشف عن الحالات الشاذة. راجع وأعد تعيين أي مفاتيح API معرضة المستخدمة لتكامل Google Maps.

📋 خريطة الامتثال التنظيمي

🟢 NCA ECC 2024

A.13.1.1 A.14.2.1

🔵 SAMA CSF

ID.SC-7 PR.DS-2

🟡 ISO 27001:2022

A.13.1.1 A.13.1.3 A.14.2.1

🔗 المراجع والمصادر 3

🔗

https://github.com/openises/tickets/commit/ecfeb406a016766cae81c749e14b5145a9f2dbff

disclosure@vulncheck.com

🔗

https://github.com/openises/tickets/releases/tag/v3.44.2

disclosure@vulncheck.com

🔗

https://www.vulncheck.com/advisories/open-ises-tickets-disabled-tls-certificate-verific...

disclosure@vulncheck.com

📊 CVSS Score

5.9

/ 10.0 — متوسط

📊 CVSS Vector

CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:N/A:N

Attack VectorN — None / Network

Attack ComplexityH — High

Privileges RequiredN — None / Network

User InteractionN — None / Network

ScopeU — Unchanged

ConfidentialityH — High

IntegrityN — None / Network

AvailabilityN — None / Network

📋 حقائق سريعة

الخطورة متوسط

CVSS Score5.9

CWECWE-295

EPSS0.02%

اختراق متاح لا

تصحيح متاح ✗ لا

تاريخ النشر 2026-05-21

المصدر nvd

المشاهدات 1

🇸🇦 درجة المخاطر السعودية

7.0

/ 10.0 — مخاطر السعودية

أولوية: HIGH

🏷️ الوسوم

CWE-295

⚡ إجراءات

🔗 NVD Official Page ⚡ Exploit-DB Search 🐙 GitHub PoC Search 🎯 MITRE ATT&CK 📊 CVE Details

CVE-2026-48246

عرّفنا بنفسك

تسجيل الدخول مطلوب