الثغرات ›

CVE-2026-6994

متوسط

CWE-74 — نوع الضعف

                    نُشر: Apr 25, 2026                      ·  آخر تحديث: Apr 28, 2026                      ·  المصدر: NVD                

CVSS v3

6.3

🔗 NVD الرسمي

📄 الوصف (الإنجليزية)

A weakness has been identified in Envoy up to 1.33.0. Affected is the function params.add of the file source/extensions/filters/http/header_mutation/header_mutation.cc of the component Query Parameter Handler. This manipulation causes injection. Remote exploitation of the attack is possible. Patch name: f8f4f1e02fdc64ecd4acf2d903208dd7285ad3a4. It is suggested to install a patch to address this issue.

🤖 ملخص AI

Envoy versions up to 1.33.0 contain a query parameter injection vulnerability in the header mutation filter that allows remote exploitation. Organizations should update to patched versions to prevent potential header manipulation attacks.

📄 الوصف (العربية)

ثغرة في معالج معاملات الاستعلام في مكون طفرة الرأس بـ Envoy تسمح بحقن البيانات الضارة عن بعد. يمكن للمهاجمين استغلال هذه الثغرة لتعديل رؤوس HTTP وتجاوز الضوابط الأمنية. التحديث الفوري ضروري لجميع الأنظمة التي تستخدم Envoy كخادم وكيل أو بوابة API.

🤖 ملخص تنفيذي (AI)

إصدارات Envoy حتى 1.33.0 تحتوي على ثغرة حقن معاملات الاستعلام في مرشح طفرة الرأس التي تسمح باستغلال بعيد. يجب على المنظمات التحديث إلى الإصدارات المصححة لمنع هجمات معالجة الرؤوس المحتملة.

🤖 التحليل الذكي آخر تحليل: May 16, 2026 20:45

🇸🇦 التأثير على المملكة العربية السعودية

Saudi Relevance: high

🏢 القطاعات السعودية المتأثرة

banking telecom government energy

🎯 تقنيات MITRE ATT&CK

T1190 T1598

⚖️ درجة المخاطر السعودية (AI)

6.0

/ 10.0

🔧 Remediation Steps (English)

Update Envoy to version 1.33.1 or later containing patch f8f4f1e02fdc64ecd4acf2d903208dd7285ad3a4. Validate and sanitize all query parameters before processing. Implement input validation controls and monitor for suspicious header manipulation attempts in HTTP traffic.

🔧 خطوات المعالجة (العربية)

قم بتحديث Envoy إلى الإصدار 1.33.1 أو أحدث يحتوي على التصحيح f8f4f1e02fdc64ecd4acf2d903208dd7285ad3a4. تحقق من صحة وتنظيف جميع معاملات الاستعلام قبل المعالجة. طبق عناصر تحكم التحقق من الإدخال ومراقبة محاولات معالجة الرؤوس المريبة في حركة HTTP.

📋 خريطة الامتثال التنظيمي

🟢 NCA ECC 2024

AC-2 AC-3

🔵 SAMA CSF

CC-6.2 CC-7.1

🟡 ISO 27001:2022

A.14.2.1 A.14.2.5

🔗 المراجع والمصادر 5

🔗

https://github.com/envoyproxy/envoy/commit/f8f4f1e02fdc64ecd4acf2d903208dd7285ad3a4

cna@vuldb.com

🔗

https://github.com/envoyproxy/envoy/pull/43502/

cna@vuldb.com

🔗

https://vuldb.com/submit/797241

cna@vuldb.com

🔗

https://vuldb.com/vuln/359546

cna@vuldb.com

🔗

https://vuldb.com/vuln/359546/cti

cna@vuldb.com

📊 CVSS Score

6.3

/ 10.0 — متوسط

📊 CVSS Vector

CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:L/A:L

Attack VectorN — None / Network

Attack ComplexityL — Low / Local

Privileges RequiredL — Low / Local

User InteractionN — None / Network

ScopeU — Unchanged

ConfidentialityL — Low / Local

IntegrityL — Low / Local

AvailabilityL — Low / Local

📋 حقائق سريعة

الخطورة متوسط

CVSS Score6.3

CWECWE-74

EPSS0.05%

اختراق متاح لا

تصحيح متاح ✗ لا

تاريخ النشر 2026-04-25

المصدر nvd

المشاهدات 1

🇸🇦 درجة المخاطر السعودية

6.0

/ 10.0 — مخاطر السعودية

أولوية: MEDIUM

🏷️ الوسوم

CWE-74

⚡ إجراءات

🔗 NVD Official Page ⚡ Exploit-DB Search 🐙 GitHub PoC Search 🎯 MITRE ATT&CK 📊 CVE Details

CVE-2026-6994

عرّفنا بنفسك

تسجيل الدخول مطلوب