الثغرات ›

CVE-2026-49490

مرتفع

CWE-89 — نوع الضعف

                    نُشر: May 31, 2026                      ·  آخر تحديث: Jun 7, 2026                      ·  المصدر: NVD                

CVSS v3

8.1

🔗 NVD الرسمي

📄 الوصف (الإنجليزية)

OpenCATS from version 0.9.1a contains an SQL injection vulnerability in DataGrid filter handling that allows authenticated attackers to inject SQL through crafted filters targeting the non-filterable Tags column in the Candidates DataGrid. Attackers can bypass column filterable restrictions by manipulating filter requests to execute arbitrary SQL queries against the database.

🤖 ملخص AI

OpenCATS versions 0.9.1a and later contain an SQL injection vulnerability in DataGrid filter handling that allows authenticated attackers to execute arbitrary SQL queries by manipulating filter requests on the Candidates DataGrid. The vulnerability bypasses column filterable restrictions through crafted filters targeting the Tags column, potentially leading to unauthorized data access or modification.

📄 الوصف (العربية)

تؤثر هذه الثغرة على نظام OpenCATS المستخدم في إدارة المرشحين والموارد البشرية. يمكن للمهاجمين المصرحين استغلال معالجة المرشحات غير الآمنة لتنفيذ استعلامات SQL عشوائية والوصول إلى بيانات حساسة. الثغرة تتطلب مصادقة لكن تسمح بتجاوز القيود الأمنية على الأعمدة.

🤖 ملخص تنفيذي (AI)

OpenCATS الإصدارات 0.9.1a وما بعده تحتوي على ثغرة حقن SQL في معالجة مرشحات DataGrid تسمح للمهاجمين المصرحين بتنفيذ استعلامات SQL عشوائية. تتجاوز الثغرة قيود العمود القابل للتصفية من خلال مرشحات مصممة تستهدف عمود الوسوم.

🤖 التحليل الذكي آخر تحليل: Jun 5, 2026 00:21

🇸🇦 التأثير على المملكة العربية السعودية

Saudi Relevance: high

🏢 القطاعات السعودية المتأثرة

government healthcare banking

🎯 تقنيات MITRE ATT&CK

T1190 T1110 T1021

⚖️ درجة المخاطر السعودية (AI)

8.0

/ 10.0

🔧 Remediation Steps (English)

Update OpenCATS to a patched version beyond 0.9.1a immediately. Implement input validation and parameterized queries for all filter operations. Apply principle of least privilege to database accounts. Monitor and log all DataGrid filter requests. Restrict access to OpenCATS to trusted users only. Consider implementing Web Application Firewall (WAF) rules to detect and block SQL injection patterns.

🔧 خطوات المعالجة (العربية)

قم بتحديث OpenCATS إلى إصدار مصحح فوراً. طبق التحقق من صحة المدخلات والاستعلامات المعاملة لجميع عمليات التصفية. طبق مبدأ الامتيازات الأقل للحسابات قاعدة البيانات. راقب وسجل جميع طلبات مرشحات DataGrid. قيد الوصول إلى OpenCATS للمستخدمين الموثوقين فقط. فكر في تطبيق قواعد جدار الحماية لتطبيقات الويب لكشف وحجب أنماط حقن SQL.

📋 خريطة الامتثال التنظيمي

🟢 NCA ECC 2024

A.7.1 A.12.2.1 A.14.2.1

🔵 SAMA CSF

ID.RA-1 PR.AC-1 PR.DS-2

🟡 ISO 27001:2022

A.9.2.1 A.12.2.1 A.14.2.1

🔗 المراجع والمصادر 2

🔗

https://github.com/opencats/OpenCATS/security/advisories/GHSA-gmpc-j6h7-vw74

disclosure@vulncheck.com

🔗

https://www.vulncheck.com/advisories/opencats-sql-injection-in-datagrid-filter-handling...

disclosure@vulncheck.com

📊 CVSS Score

8.1

/ 10.0 — مرتفع

📊 CVSS Vector

CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:N

Attack VectorN — None / Network

Attack ComplexityL — Low / Local

Privileges RequiredL — Low / Local

User InteractionN — None / Network

ScopeU — Unchanged

ConfidentialityH — High

IntegrityH — High

AvailabilityN — None / Network

📋 حقائق سريعة

الخطورة مرتفع

CVSS Score8.1

CWECWE-89

EPSS0.03%

اختراق متاح لا

تصحيح متاح ✗ لا

تاريخ النشر 2026-05-31

المصدر nvd

المشاهدات 2

🇸🇦 درجة المخاطر السعودية

8.0

/ 10.0 — مخاطر السعودية

أولوية: HIGH

🏷️ الوسوم

CWE-89

⚡ إجراءات

🔗 NVD Official Page ⚡ Exploit-DB Search 🐙 GitHub PoC Search 🎯 MITRE ATT&CK 📊 CVE Details

CVE-2026-49490

عرّفنا بنفسك

تسجيل الدخول مطلوب