الثغرات ›

CVE-2026-7084

متوسط

CWE-918 — نوع الضعف

                    نُشر: Apr 27, 2026                      ·  آخر تحديث: Apr 30, 2026                      ·  المصدر: NVD                

CVSS v3

6.3

🔗 NVD الرسمي

📄 الوصف (الإنجليزية)

A vulnerability was found in HBAI-Ltd Toonflow-app up to 1.1.1. This affects the function fetch of the file src/routes/setting/vendorConfig/getCodeByLink.ts of the component getCodeByLink Endpoint. The manipulation of the argument Link results in server-side request forgery. The attack may be performed from remote. The exploit has been made public and could be used. There is ongoing doubt regarding the real existence of this vulnerability. The vendor explains in a reply to the issue report, that "[t]he /getCodeByLink interface is used to obtain TS code and run it locally. It is inherently a high-risk interface, and users must clearly understand the risks before requesting to use it."

🤖 ملخص AI

A server-side request forgery (SSRF) vulnerability exists in HBAI-Ltd Toonflow-app versions up to 1.1.1 in the getCodeByLink endpoint, allowing remote attackers to manipulate the Link parameter. The vendor acknowledges this is a high-risk interface requiring explicit user understanding of security implications.

📄 الوصف (العربية)

تم العثور على ثغرة SSRF في دالة fetch بملف getCodeByLink.ts في تطبيق Toonflow حتى الإصدار 1.1.1. تسمح الثغرة للمهاجمين بمعالجة معامل الرابط لتنفيذ طلبات على خوادم داخلية. يعترف البائع بأن الواجهة عالية المخاطر وتتطلب موافقة صريحة من المستخدم.

🤖 ملخص تنفيذي (AI)

تم اكتشاف ثغرة SSRF في تطبيق Toonflow من HBAI-Ltd الإصدارات حتى 1.1.1 في نقطة نهاية getCodeByLink، مما يسمح للمهاجمين بمعالجة معامل الرابط عن بعد. يعترف البائع بأن هذه واجهة عالية المخاطر تتطلب فهماً صريحاً من المستخدم لآثار الأمان.

🤖 التحليل الذكي آخر تحليل: May 16, 2026 20:46

🇸🇦 التأثير على المملكة العربية السعودية

Saudi Relevance: medium

🏢 القطاعات السعودية المتأثرة

government telecom

🎯 تقنيات MITRE ATT&CK

T1190 T1498 T1570

⚖️ درجة المخاطر السعودية (AI)

6.0

/ 10.0

🔧 Remediation Steps (English)

Upgrade HBAI-Ltd Toonflow-app to version 1.1.2 or later. Implement strict input validation and URL whitelisting for the Link parameter. Restrict access to the getCodeByLink endpoint to authorized users only. Monitor and log all requests to this endpoint. Consider disabling the endpoint if not actively required.

🔧 خطوات المعالجة (العربية)

قم بترقية تطبيق Toonflow من HBAI-Ltd إلى الإصدار 1.1.2 أو أحدث. قم بتطبيق التحقق الصارم من المدخلات وقائمة بيضاء للعناوين بخصوص معامل الرابط. قيد الوصول إلى نقطة النهاية إلى المستخدمين المصرح لهم فقط. راقب وسجل جميع الطلبات إلى هذه النقطة. فكر في تعطيل النقطة إذا لم تكن مطلوبة بنشاط.

📋 خريطة الامتثال التنظيمي

🟢 NCA ECC 2024

A.7.1.1 A.7.2.1 A.7.4.1

🔵 SAMA CSF

ID.RA-1 PR.AC-1 PR.AC-3

🟡 ISO 27001:2022

A.6.1.1 A.7.1.1 A.7.2.1 A.7.4.1 A.13.1.1

🔗 المراجع والمصادر 6

🔗

https://github.com/HBAI-Ltd/Toonflow-app/

cna@vuldb.com

🔗

https://github.com/HBAI-Ltd/Toonflow-app/issues/95

cna@vuldb.com

🔗

https://github.com/HBAI-Ltd/Toonflow-app/issues/95#issuecomment-4208181221

cna@vuldb.com

🔗

https://vuldb.com/submit/799582

cna@vuldb.com

🔗

https://vuldb.com/vuln/359659

cna@vuldb.com

🔗

https://vuldb.com/vuln/359659/cti

cna@vuldb.com

📊 CVSS Score

6.3

/ 10.0 — متوسط

📊 CVSS Vector

CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:L/A:L

Attack VectorN — None / Network

Attack ComplexityL — Low / Local

Privileges RequiredL — Low / Local

User InteractionN — None / Network

ScopeU — Unchanged

ConfidentialityL — Low / Local

IntegrityL — Low / Local

AvailabilityL — Low / Local

📋 حقائق سريعة

الخطورة متوسط

CVSS Score6.3

CWECWE-918

EPSS0.01%

اختراق متاح لا

تصحيح متاح ✗ لا

تاريخ النشر 2026-04-27

المصدر nvd

المشاهدات 1

🇸🇦 درجة المخاطر السعودية

6.0

/ 10.0 — مخاطر السعودية

أولوية: MEDIUM

🏷️ الوسوم

CWE-918

⚡ إجراءات

🔗 NVD Official Page ⚡ Exploit-DB Search 🐙 GitHub PoC Search 🎯 MITRE ATT&CK 📊 CVE Details

CVE-2026-7084

عرّفنا بنفسك

تسجيل الدخول مطلوب