الثغرات ›

CVE-2026-8621

مرتفع

CWE-287 — نوع الضعف

                    نُشر: May 14, 2026                      ·  آخر تحديث: May 21, 2026                      ·  المصدر: NVD                

CVSS v3

8.8

🔗 NVD الرسمي

📄 الوصف (الإنجليزية)

Crabbox prior to v0.12.0 contains an authentication bypass vulnerability that allows non-admin shared-token callers to impersonate other owners or organizations by spoofing identity headers. Attackers can inject malicious X-Crabbox-Owner and X-Crabbox-Org headers in requests authenticated with a shared token to bypass authorization checks and access owner/org-scoped lease operations belonging to victim accounts.

🤖 ملخص AI

Crabbox versions before 0.12.0 contain an authentication bypass vulnerability allowing attackers with shared tokens to impersonate other owners or organizations by spoofing identity headers. This enables unauthorized access to lease operations and sensitive account resources through header injection attacks.

📄 الوصف (العربية)

تسمح هذه الثغرة للمهاجمين الذين يمتلكون رموز مشتركة بتجاوز فحوصات التفويض عن طريق حقن رؤوس مخصصة تدّعي هوية مالكين أو منظمات أخرى. يمكن استغلال هذا الضعف للوصول إلى عمليات الإيجار الحساسة والبيانات المرتبطة بحسابات الضحايا دون تصريح صحيح.

🤖 ملخص تنفيذي (AI)

إصدارات Crabbox السابقة للإصدار 0.12.0 تحتوي على ثغرة تجاوز المصادقة التي تسمح للمهاجمين بانتحال هوية المالكين أو المنظمات الأخرى عن طريق تزييف رؤوس الهوية. يمكن للمهاجمين الوصول غير المصرح به إلى عمليات الإيجار والموارد الحساسة للحسابات من خلال هجمات حقن الرؤوس.

🤖 التحليل الذكي آخر تحليل: May 20, 2026 00:18

🇸🇦 التأثير على المملكة العربية السعودية

Saudi Relevance: high

🏢 القطاعات السعودية المتأثرة

government banking telecom energy healthcare

🎯 تقنيات MITRE ATT&CK

T1078.001 T1550.004 T1021.001

⚖️ درجة المخاطر السعودية (AI)

8.0

/ 10.0

🔧 Remediation Steps (English)

Immediately upgrade Crabbox to version 0.12.0 or later. Implement strict validation of X-Crabbox-Owner and X-Crabbox-Org headers on the server-side, ensuring they cannot be overridden by client requests. Enforce mutual TLS authentication for shared token usage and monitor access logs for suspicious header patterns. Restrict shared token permissions to minimum required scopes and implement rate limiting on authentication attempts.

🔧 خطوات المعالجة (العربية)

قم بترقية Crabbox فوراً إلى الإصدار 0.12.0 أو أحدث. طبّق التحقق الصارم من رؤوس X-Crabbox-Owner و X-Crabbox-Org على جانب الخادم، مما يضمن عدم إمكانية تجاوزها من طلبات العميل. فرض المصادقة المتبادلة TLS لاستخدام الرموز المشتركة ومراقبة سجلات الوصول للأنماط المريبة. قيّد أذونات الرموز المشتركة بأقل نطاقات مطلوبة وطبّق تحديد معدل على محاولات المصادقة.

📋 خريطة الامتثال التنظيمي

🟢 NCA ECC 2024

5.1.1 5.1.2 5.2.1

🔵 SAMA CSF

AC-2 AC-3 AC-6

🟡 ISO 27001:2022

A.9.2.1 A.9.2.5 A.9.4.3

🔗 المراجع والمصادر 4

🔗

https://github.com/openclaw/crabbox/commit/b657323f1d1c954cefc8444571fa6c45a8896e7f

disclosure@vulncheck.com

🔗

https://github.com/openclaw/crabbox/pull/70

disclosure@vulncheck.com

🔗

https://github.com/openclaw/crabbox/releases/tag/v0.12.0

disclosure@vulncheck.com

🔗

https://www.vulncheck.com/advisories/crabbox-authentication-bypass-via-header-spoofing

disclosure@vulncheck.com

📊 CVSS Score

8.8

/ 10.0 — مرتفع

📊 CVSS Vector

CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H

Attack VectorN — None / Network

Attack ComplexityL — Low / Local

Privileges RequiredL — Low / Local

User InteractionN — None / Network

ScopeU — Unchanged

ConfidentialityH — High

IntegrityH — High

AvailabilityH — High

📋 حقائق سريعة

الخطورة مرتفع

CVSS Score8.8

CWECWE-287

EPSS0.08%

اختراق متاح لا

تصحيح متاح ✗ لا

تاريخ النشر 2026-05-14

المصدر nvd

المشاهدات 1

🇸🇦 درجة المخاطر السعودية

8.0

/ 10.0 — مخاطر السعودية

أولوية: HIGH

🏷️ الوسوم

CWE-287

⚡ إجراءات

🔗 NVD Official Page ⚡ Exploit-DB Search 🐙 GitHub PoC Search 🎯 MITRE ATT&CK 📊 CVE Details

CVE-2026-8621

عرّفنا بنفسك

تسجيل الدخول مطلوب