الثغرات ›

CVE-2026-7065

مرتفع

CWE-918 — نوع الضعف

                    نُشر: Apr 27, 2026                      ·  آخر تحديث: May 3, 2026                      ·  المصدر: NVD                

CVSS v3

7.3

🔗 NVD الرسمي

📄 الوصف (الإنجليزية)

A vulnerability has been found in BidingCC BuildingAI up to 26.0.1. Impacted is the function uploadRemoteFile of the file packages/core/src/modules/upload/services/file-storage.service.ts of the component Remote Upload API. The manipulation of the argument url leads to server-side request forgery. It is possible to initiate the attack remotely. The exploit has been disclosed to the public and may be used. The project was informed of the problem early through an issue report but has not responded yet.

🤖 ملخص AI

A server-side request forgery (SSRF) vulnerability exists in BidingCC BuildingAI up to version 26.0.1 in the Remote Upload API's uploadRemoteFile function. An attacker can manipulate the URL parameter to make the server perform unauthorized requests to internal resources.

📄 الوصف (العربية)

ثغرة SSRF في مكون Remote Upload API بـ BidingCC BuildingAI تسمح بمعالجة معاملات URL غير آمنة. يمكن للمهاجم البعيد استغلال هذه الثغرة لإجبار الخادم على الوصول إلى موارد داخلية أو أنظمة محلية. الثغرة مفصح عنها علناً والمشروع لم يستجب للإبلاغ عنها حتى الآن.

🤖 ملخص تنفيذي (AI)

ثغرة في BidingCC BuildingAI حتى الإصدار 26.0.1 تسمح بهجوم SSRF عبر معالجة معاملات URL في واجهة التحميل البعيد. يمكن للمهاجم إجبار الخادم على إرسال طلبات غير مصرح بها للموارد الداخلية.

🤖 التحليل الذكي آخر تحليل: May 5, 2026 16:55

🇸🇦 التأثير على المملكة العربية السعودية

Saudi Relevance: high

🏢 القطاعات السعودية المتأثرة

government energy healthcare

🎯 تقنيات MITRE ATT&CK

T1190 T1557 T1570 T1021

⚖️ درجة المخاطر السعودية (AI)

7.0

/ 10.0

🔧 Remediation Steps (English)

Upgrade BidingCC BuildingAI to a patched version beyond 26.0.1 immediately. Implement input validation and URL whitelisting for the uploadRemoteFile function. Restrict outbound network requests from the application server to only necessary internal resources. Deploy network segmentation to limit server access to internal systems. Monitor and log all remote file upload requests for suspicious activity.

🔧 خطوات المعالجة (العربية)

قم بترقية BidingCC BuildingAI إلى إصدار مصحح بعد 26.0.1 فوراً. طبق التحقق من صحة المدخلات وقائمة بيضاء لعناوين URL في دالة uploadRemoteFile. قيد الطلبات الشبكية الصادرة من خادم التطبيق للموارد الداخلية الضرورية فقط. طبق تقسيم الشبكة لتحديد وصول الخادم للأنظمة الداخلية. راقب وسجل جميع طلبات التحميل البعيد للملفات للكشف عن النشاط المريب.

📋 خريطة الامتثال التنظيمي

🟢 NCA ECC 2024

5.1 5.2 7.1 7.2

🔵 SAMA CSF

ID.BE-3 PR.AC-3 PR.DS-1 DE.CM-1

🟡 ISO 27001:2022

A.13.1.1 A.13.2.1 A.14.1.1 A.14.2.1

🔗 المراجع والمصادر 5

🔗

https://github.com/BidingCC/BuildingAI/

cna@vuldb.com

🔗

https://github.com/BidingCC/BuildingAI/issues/110

cna@vuldb.com

🔗

https://vuldb.com/submit/798621

cna@vuldb.com

🔗

https://vuldb.com/vuln/359640

cna@vuldb.com

🔗

https://vuldb.com/vuln/359640/cti

cna@vuldb.com

📊 CVSS Score

7.3

/ 10.0 — مرتفع

📊 CVSS Vector

CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:L/A:L

Attack VectorN — None / Network

Attack ComplexityL — Low / Local

Privileges RequiredN — None / Network

User InteractionN — None / Network

ScopeU — Unchanged

ConfidentialityL — Low / Local

IntegrityL — Low / Local

AvailabilityL — Low / Local

📋 حقائق سريعة

الخطورة مرتفع

CVSS Score7.3

CWECWE-918

EPSS0.04%

اختراق متاح لا

تصحيح متاح ✗ لا

تاريخ النشر 2026-04-27

المصدر nvd

المشاهدات 1

🇸🇦 درجة المخاطر السعودية

7.0

/ 10.0 — مخاطر السعودية

أولوية: HIGH

🏷️ الوسوم

CWE-918

⚡ إجراءات

🔗 NVD Official Page ⚡ Exploit-DB Search 🐙 GitHub PoC Search 🎯 MITRE ATT&CK 📊 CVE Details

💬 التعليقات

جارٍ التحميل

CVE-2026-7065

💬 التعليقات

عرّفنا بنفسك

تسجيل الدخول مطلوب