الثغرات ›

CVE-2026-6489

متوسط

CWE-284 — نوع الضعف

                    نُشر: Apr 17, 2026                      ·  آخر تحديث: Apr 20, 2026                      ·  المصدر: NVD                

CVSS v3

6.3

🔗 NVD الرسمي

📄 الوصف (الإنجليزية)

A security flaw has been discovered in QueryMine sms up to 7ab5a9ea196209611134525ffc18de25c57d9593. This issue affects some unknown processing of the file admin/addteacher.php of the component Background Management Page. The manipulation of the argument image results in unrestricted upload. The attack can be launched remotely. The exploit has been released to the public and may be used for attacks. This product does not use versioning. This is why information about affected and unaffected releases are unavailable. The vendor was contacted early about this disclosure but did not respond in any way.

🤖 ملخص AI

QueryMine SMS contains an unrestricted file upload vulnerability in the admin/addteacher.php component that allows remote attackers to upload arbitrary files via the image parameter. This vulnerability affects versions up to commit 7ab5a9ea196209611134525ffc18de25c57d9593 and has been publicly disclosed with active exploits available.

📄 الوصف (العربية)

تحتوي ثغرة CWE-284 على فشل في التحكم في الوصول في مكون إدارة الخلفية لـ QueryMine SMS. يسمح المعامل image غير المحمي بتحميل ملفات عشوائية قد تشمل أكواد خبيثة أو أصداف ويب. الثغرة قابلة للاستغلال عن بعد وتم نشر استغلالات عملية لها.

🤖 ملخص تنفيذي (AI)

تم اكتشاف ثغرة تحميل ملفات غير مقيدة في QueryMine SMS في مكون admin/addteacher.php تسمح للمهاجمين بتحميل ملفات عشوائية عبر معامل الصورة. تؤثر هذه الثغرة على الإصدارات حتى الالتزام المحدد وتم الكشف عنها علناً مع توفر استغلالات نشطة.

🤖 التحليل الذكي آخر تحليل: May 19, 2026 07:07

🇸🇦 التأثير على المملكة العربية السعودية

Saudi Relevance: high

🏢 القطاعات السعودية المتأثرة

government education telecom

🎯 تقنيات MITRE ATT&CK

T1190 T1434 T1505

⚖️ درجة المخاطر السعودية (AI)

7.0

/ 10.0

🔧 Remediation Steps (English)

Immediately update QueryMine SMS to a patched version beyond commit 7ab5a9ea196209611134525ffc18de25c57d9593. Implement strict file upload validation including file type whitelist, size limits, and storage outside web root. Apply input validation and sanitization to the image parameter. Deploy Web Application Firewall (WAF) rules to block suspicious file uploads. Conduct security audit of all file upload functionality.

🔧 خطوات المعالجة (العربية)

قم بتحديث QueryMine SMS فوراً إلى إصدار مصحح يتجاوز الالتزام المحدد. طبق التحقق الصارم من تحميل الملفات بما في ذلك قائمة بيضاء لنوع الملف وحدود الحجم والتخزين خارج جذر الويب. طبق التحقق من الإدخال والتنظيف على معامل الصورة. نشر قواعد جدار حماية تطبيقات الويب لحظر التحميلات المريبة. أجرِ تدقيق أمني لجميع وظائف تحميل الملفات.

📋 خريطة الامتثال التنظيمي

🟢 NCA ECC 2024

A.14.2.1 A.14.2.5

🔵 SAMA CSF

CC-6.1 CC-6.2 CC-7.2

🟡 ISO 27001:2022

A.14.2.1 A.14.2.5 A.12.4.1

🔗 المراجع والمصادر 4

🔗

https://github.com/duckpigdog/CVE/blob/main/QueryMine_sms%20PHP%20Project%20Deployment%...

cna@vuldb.com

🔗

https://vuldb.com/submit/786981

cna@vuldb.com

🔗

https://vuldb.com/vuln/358033

cna@vuldb.com

🔗

https://vuldb.com/vuln/358033/cti

cna@vuldb.com

📊 CVSS Score

6.3

/ 10.0 — متوسط

📊 CVSS Vector

CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:L/A:L

Attack VectorN — None / Network

Attack ComplexityL — Low / Local

Privileges RequiredL — Low / Local

User InteractionN — None / Network

ScopeU — Unchanged

ConfidentialityL — Low / Local

IntegrityL — Low / Local

AvailabilityL — Low / Local

📋 حقائق سريعة

الخطورة متوسط

CVSS Score6.3

CWECWE-284

EPSS0.01%

اختراق متاح لا

تصحيح متاح ✗ لا

تاريخ النشر 2026-04-17

المصدر nvd

المشاهدات 5

🇸🇦 درجة المخاطر السعودية

7.0

/ 10.0 — مخاطر السعودية

أولوية: HIGH

🏷️ الوسوم

CWE-284

⚡ إجراءات

🔗 NVD Official Page ⚡ Exploit-DB Search 🐙 GitHub PoC Search 🎯 MITRE ATT&CK 📊 CVE Details

💬 التعليقات

جارٍ التحميل

CVE-2026-6489

💬 التعليقات

عرّفنا بنفسك

تسجيل الدخول مطلوب