الثغرات ›

CVE-2026-48247

متوسط

CWE-295 — نوع الضعف

                    نُشر: May 21, 2026                      ·  آخر تحديث: May 24, 2026                      ·  المصدر: NVD                

CVSS v3

5.9

🔗 NVD الرسمي

📄 الوصف (الإنجليزية)

Open ISES Tickets before 3.44.2 disables TLS certificate verification in incs/functions.inc.php by setting CURLOPT_SSL_VERIFYPEER to false (and not setting CURLOPT_SSL_VERIFYHOST) when issuing outbound HTTPS requests for general-purpose outbound HTTPS requests issued by the shared helper functions. An attacker positioned on the network path between the server and the remote endpoint can present a forged certificate to intercept, monitor, or modify the request and response, including any API keys or session-bearing data in transit.

🤖 ملخص AI

Open ISES Tickets before version 3.44.2 disables TLS certificate verification for outbound HTTPS requests, allowing network attackers to intercept and modify traffic including API keys and session data. This vulnerability affects organizations using vulnerable versions of the ticketing system for critical communications.

📄 الوصف (العربية)

يعطل Open ISES Tickets قبل الإصدار 3.44.2 التحقق من شهادات TLS بتعيين CURLOPT_SSL_VERIFYPEER إلى false في ملف incs/functions.inc.php. يمكن لمهاجم على مسار الشبكة تقديم شهادة مزيفة لاعتراض أو تعديل الطلبات والاستجابات بما في ذلك مفاتيح API والبيانات الحساسة.

🤖 ملخص تنفيذي (AI)

إصدارات Open ISES Tickets السابقة للإصدار 3.44.2 تعطل التحقق من شهادات TLS في طلبات HTTPS الصادرة، مما يسمح للمهاجمين بالتقاط وتعديل البيانات الحساسة. يؤثر هذا على المنظمات السعودية التي تستخدم هذا النظام للاتصالات الحرجة.

🤖 التحليل الذكي آخر تحليل: May 24, 2026 13:07

🇸🇦 التأثير على المملكة العربية السعودية

Saudi Relevance: high

🏢 القطاعات السعودية المتأثرة

government telecom banking healthcare

🎯 تقنيات MITRE ATT&CK

T1557.002 T1187 T1040

⚖️ درجة المخاطر السعودية (AI)

7.0

/ 10.0

🔧 Remediation Steps (English)

Upgrade Open ISES Tickets to version 3.44.2 or later immediately. Ensure CURLOPT_SSL_VERIFYPEER and CURLOPT_SSL_VERIFYHOST are properly configured in all HTTPS requests. Implement network segmentation and monitor for suspicious certificate presentations. Review and rotate any API keys or credentials that may have been exposed.

🔧 خطوات المعالجة (العربية)

قم بترقية Open ISES Tickets إلى الإصدار 3.44.2 أو أحدث فوراً. تأكد من تكوين CURLOPT_SSL_VERIFYPEER و CURLOPT_SSL_VERIFYHOST بشكل صحيح في جميع طلبات HTTPS. طبق تقسيم الشبكة ومراقبة العروض المريبة للشهادات. راجع وأعد تعيين أي مفاتيح API أو بيانات اعتماد قد تكون معرضة.

📋 خريطة الامتثال التنظيمي

🟢 NCA ECC 2024

A.13.1.1 A.14.2.1

🔵 SAMA CSF

ID.SC-7 PR.DS-2

🟡 ISO 27001:2022

A.10.1.1 A.13.1.3 A.14.2.1

🔗 المراجع والمصادر 3

🔗

https://github.com/openises/tickets/commit/ecfeb406a016766cae81c749e14b5145a9f2dbff

disclosure@vulncheck.com

🔗

https://github.com/openises/tickets/releases/tag/v3.44.2

disclosure@vulncheck.com

🔗

https://www.vulncheck.com/advisories/open-ises-tickets-disabled-tls-certificate-verific...

disclosure@vulncheck.com

📊 CVSS Score

5.9

/ 10.0 — متوسط

📊 CVSS Vector

CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:N/A:N

Attack VectorN — None / Network

Attack ComplexityH — High

Privileges RequiredN — None / Network

User InteractionN — None / Network

ScopeU — Unchanged

ConfidentialityH — High

IntegrityN — None / Network

AvailabilityN — None / Network

📋 حقائق سريعة

الخطورة متوسط

CVSS Score5.9

CWECWE-295

EPSS0.02%

اختراق متاح لا

تصحيح متاح ✗ لا

تاريخ النشر 2026-05-21

المصدر nvd

المشاهدات 1

🇸🇦 درجة المخاطر السعودية

7.0

/ 10.0 — مخاطر السعودية

أولوية: HIGH

🏷️ الوسوم

CWE-295

⚡ إجراءات

🔗 NVD Official Page ⚡ Exploit-DB Search 🐙 GitHub PoC Search 🎯 MITRE ATT&CK 📊 CVE Details

CVE-2026-48247

عرّفنا بنفسك

تسجيل الدخول مطلوب