الثغرات ›

CVE-2026-6982

متوسط

CWE-74 — نوع الضعف

                    نُشر: Apr 25, 2026                      ·  آخر تحديث: Apr 28, 2026                      ·  المصدر: NVD                

CVSS v3

6.3

🔗 NVD الرسمي

📄 الوصف (الإنجليزية)

A vulnerability was determined in star7th ShowDoc up to 2.10.10/3.6.2/3.8.0. Affected by this vulnerability is an unknown functionality of the file server/Application/Api/Controller/PageController.class.PHP of the component API Page Sort Endpoint. Executing a manipulation of the argument pages can lead to sql injection. The attack may be launched remotely. Upgrading to version 3.8.1 addresses this issue. It is suggested to upgrade the affected component. According to the researcher, "[t]he vendor explicitly stated they will not backport patches to the older affected versions."

🤖 ملخص AI

A SQL injection vulnerability exists in ShowDoc versions up to 2.10.10, 3.6.2, and 3.8.0 in the API Page Sort Endpoint that allows remote attackers to manipulate the pages argument. Organizations must upgrade to version 3.8.1 or later as the vendor will not backport patches to older versions.

📄 الوصف (العربية)

ثغرة حقن SQL في ShowDoc تؤثر على إصدارات متعددة من خلال نقطة نهاية API Page Sort. يمكن للمهاجمين البعيدين استغلال هذه الثغرة بمعالجة معامل الصفحات لتنفيذ أوامر SQL عشوائية. البائع لن يوفر تصحيحات للإصدارات الأقدم مما يجعل الترقية الخيار الوحيد.

🤖 ملخص تنفيذي (AI)

ثغرة حقن SQL موجودة في إصدارات ShowDoc حتى 2.10.10 و3.6.2 و3.8.0 في نقطة نهاية API Page Sort تسمح للمهاجمين البعيدين بمعالجة وسيطة الصفحات. يجب على المنظمات الترقية إلى الإصدار 3.8.1 أو أحدث حيث لن يقوم البائع بنقل التصحيحات إلى الإصدارات الأقدم.

🤖 التحليل الذكي آخر تحليل: May 18, 2026 20:06

🇸🇦 التأثير على المملكة العربية السعودية

Saudi Relevance: high

🏢 القطاعات السعودية المتأثرة

government healthcare telecom

🎯 تقنيات MITRE ATT&CK

T1190 T1083 T1005

⚖️ درجة المخاطر السعودية (AI)

7.0

/ 10.0

🔧 Remediation Steps (English)

Immediately upgrade ShowDoc to version 3.8.1 or later. For organizations unable to upgrade immediately, implement Web Application Firewall (WAF) rules to block malicious SQL injection patterns in the pages parameter, restrict API access to trusted networks, and monitor API logs for suspicious activity. Disable the affected API endpoint if not in use.

🔧 خطوات المعالجة (العربية)

قم بترقية ShowDoc فوراً إلى الإصدار 3.8.1 أو أحدث. بالنسبة للمنظمات غير القادرة على الترقية فوراً، قم بتطبيق قواعد جدار حماية تطبيقات الويب لحجب أنماط حقن SQL الضارة في معامل الصفحات، وقيد وصول API إلى الشبكات الموثوقة، ومراقبة سجلات API للنشاط المريب. قم بتعطيل نقطة نهاية API المتأثرة إذا لم تكن قيد الاستخدام.

📋 خريطة الامتثال التنظيمي

🟢 NCA ECC 2024

A.12.6.1 A.14.2.1

🔵 SAMA CSF

ID.RA-1 PR.IP-1 DE.CM-1

🟡 ISO 27001:2022

A.12.6.1 A.14.2.1 A.14.2.5

🔗 المراجع والمصادر 5

🔗

https://gist.github.com/saDL0w/555e19668264f98d96259ad47ea33811

cna@vuldb.com

🔗

https://github.com/star7th/showdoc/releases/tag/v3.8.1

cna@vuldb.com

🔗

https://vuldb.com/submit/795528

cna@vuldb.com

🔗

https://vuldb.com/vuln/359525

cna@vuldb.com

🔗

https://vuldb.com/vuln/359525/cti

cna@vuldb.com

📊 CVSS Score

6.3

/ 10.0 — متوسط

📊 CVSS Vector

CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:L/A:L

Attack VectorN — None / Network

Attack ComplexityL — Low / Local

Privileges RequiredL — Low / Local

User InteractionN — None / Network

ScopeU — Unchanged

ConfidentialityL — Low / Local

IntegrityL — Low / Local

AvailabilityL — Low / Local

📋 حقائق سريعة

الخطورة متوسط

CVSS Score6.3

CWECWE-74

EPSS0.03%

اختراق متاح لا

تصحيح متاح ✗ لا

تاريخ النشر 2026-04-25

المصدر nvd

المشاهدات 1

🇸🇦 درجة المخاطر السعودية

7.0

/ 10.0 — مخاطر السعودية

أولوية: HIGH

🏷️ الوسوم

CWE-74

⚡ إجراءات

🔗 NVD Official Page ⚡ Exploit-DB Search 🐙 GitHub PoC Search 🎯 MITRE ATT&CK 📊 CVE Details

CVE-2026-6982

عرّفنا بنفسك

تسجيل الدخول مطلوب