الثغرات ›

CVE-2026-6835

متوسط

CWE-434 — نوع الضعف

                    نُشر: Apr 22, 2026                      ·  آخر تحديث: Apr 25, 2026                      ·  المصدر: NVD                

CVSS v3

6.1

🔗 NVD الرسمي

📄 الوصف (الإنجليزية)

The a+HCM developed by aEnrich has an Arbitrary File Upload vulnerability, allowing unauthenticated remote attackers to upload arbitrary files to any path, including HTML documents, which may result in a XSS-like effect.

🤖 ملخص AI

a+HCM by aEnrich contains an arbitrary file upload vulnerability allowing unauthenticated attackers to upload malicious files to any path. This can lead to cross-site scripting (XSS) attacks and potential system compromise through uploaded HTML documents.

📄 الوصف (العربية)

تطبيق إدارة الموارد البشرية a+HCM يعاني من ثغرة تحميل ملفات حرجة تسمح بالوصول غير المصرح به. يمكن للمهاجمين استغلال هذه الثغرة لتنفيذ هجمات XSS وتعديل محتوى التطبيق بشكل ضار.

🤖 ملخص تنفيذي (AI)

تطبيق a+HCM من aEnrich يحتوي على ثغرة تحميل ملفات عشوائية تسمح للمهاجمين غير المصرح لهم برفع ملفات ضارة إلى أي مسار. قد يؤدي هذا إلى هجمات XSS والتعريض للخطر من خلال مستندات HTML المرفوعة.

🤖 التحليل الذكي آخر تحليل: May 23, 2026 08:49

🇸🇦 التأثير على المملكة العربية السعودية

Saudi Relevance: high

🏢 القطاعات السعودية المتأثرة

government healthcare banking

🎯 تقنيات MITRE ATT&CK

T1190 T1434 T1047

⚖️ درجة المخاطر السعودية (AI)

7.0

/ 10.0

🔧 Remediation Steps (English)

Immediately patch a+HCM to the latest version. Implement strict file upload validation including file type whitelisting, file extension verification, and storage outside web root. Enable authentication requirements for all file upload endpoints. Deploy Web Application Firewall (WAF) rules to block suspicious uploads. Conduct security audit of deployed instances.

🔧 خطوات المعالجة (العربية)

قم بتحديث a+HCM فوراً إلى أحدث إصدار. طبق التحقق الصارم من تحميل الملفات بما في ذلك قائمة بيضاء لأنواع الملفات والتحقق من الامتدادات. فعّل متطلبات المصادقة لجميع نقاط نهاية التحميل. نشر قواعد جدار الحماية لحجب التحميلات المريبة. أجرِ تدقيقاً أمنياً للنسخ المنشورة.

📋 خريطة الامتثال التنظيمي

🟢 NCA ECC 2024

6.1 6.2 7.1

🔵 SAMA CSF

AC-2 AC-3 SI-10

🟡 ISO 27001:2022

A.14.2.1 A.14.2.5 A.12.3.1

🔗 المراجع والمصادر 2

🔗

https://www.twcert.org.tw/en/cp-139-10836-ed15f-2.html

twcert@cert.org.tw

🔗

https://www.twcert.org.tw/tw/cp-132-10835-cb0c2-1.html

twcert@cert.org.tw

📊 CVSS Score

6.1

/ 10.0 — متوسط

📊 CVSS Vector

CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N

Attack VectorN — None / Network

Attack ComplexityL — Low / Local

Privileges RequiredN — None / Network

User InteractionR — Required

ScopeC — Changed

ConfidentialityL — Low / Local

IntegrityL — Low / Local

AvailabilityN — None / Network

📋 حقائق سريعة

الخطورة متوسط

CVSS Score6.1

CWECWE-434

EPSS0.03%

اختراق متاح لا

تصحيح متاح ✗ لا

تاريخ النشر 2026-04-22

المصدر nvd

المشاهدات 1

🇸🇦 درجة المخاطر السعودية

7.0

/ 10.0 — مخاطر السعودية

أولوية: HIGH

🏷️ الوسوم

CWE-434

⚡ إجراءات

🔗 NVD Official Page ⚡ Exploit-DB Search 🐙 GitHub PoC Search 🎯 MITRE ATT&CK 📊 CVE Details

CVE-2026-6835

عرّفنا بنفسك

تسجيل الدخول مطلوب