الثغرات ›

CVE-2026-8786

متوسط ⚡ اختراق متاح

CWE-285 — نوع الضعف

                    نُشر: May 18, 2026                      ·  آخر تحديث: May 21, 2026                      ·  المصدر: NVD                

CVSS v3

6.3

🔗 NVD الرسمي

📄 الوصف (الإنجليزية)

A vulnerability has been found in Tencent WeKnora up to 0.3.6. Affected by this issue is the function getKnowledgeBaseForInitialization of the file internal/handler/initialization.go of the component Config API Endpoint. The manipulation of the argument kbId leads to authorization bypass. It is possible to initiate the attack remotely. The exploit has been disclosed to the public and may be used. The vendor was contacted early about this disclosure but did not respond in any way.

🤖 ملخص AI

Tencent WeKnora versions up to 0.3.6 contain an authorization bypass vulnerability in the Config API Endpoint's getKnowledgeBaseForInitialization function through manipulation of the kbId parameter. This allows remote attackers to bypass access controls and potentially access unauthorized knowledge base configurations.

📄 الوصف (العربية)

تؤثر هذه الثغرة على مكون واجهة برمجة تطبيقات التكوين في Tencent WeKnora وتسمح بتجاوز آليات التفويض من خلال معالجة معامل معرف قاعدة المعرفة (kbId). تم الكشف عن الاستغلال علناً والبائع لم يستجب لإشعارات الكشف المبكر.

🤖 ملخص تنفيذي (AI)

تحتوي إصدارات Tencent WeKnora حتى 0.3.6 على ثغرة تجاوز التفويض في نقطة نهاية واجهة برمجة التطبيقات للتكوين من خلال معالجة معامل kbId. يمكن للمهاجمين البعيدين تجاوز عناصر التحكم في الوصول والوصول المحتمل إلى تكوينات قاعدة المعرفة غير المصرح بها.

🤖 التحليل الذكي آخر تحليل: May 19, 2026 13:50

🇸🇦 التأثير على المملكة العربية السعودية

Saudi Relevance: medium

🏢 القطاعات السعودية المتأثرة

government telecom banking

🎯 تقنيات MITRE ATT&CK

T1078.001 T1548.002 T1190

⚖️ درجة المخاطر السعودية (AI)

6.0

/ 10.0

🔧 Remediation Steps (English)

Update Tencent WeKnora to version 0.3.7 or later immediately. Implement strict input validation and authorization checks for the kbId parameter in the getKnowledgeBaseForInitialization function. Apply network segmentation to restrict access to the Config API Endpoint. Monitor access logs for suspicious kbId manipulation attempts. Consider implementing Web Application Firewall (WAF) rules to detect and block exploitation attempts.

🔧 خطوات المعالجة (العربية)

قم بتحديث Tencent WeKnora إلى الإصدار 0.3.7 أو أحدث على الفور. قم بتطبيق التحقق الصارم من المدخلات وفحوصات التفويض لمعامل kbId في وظيفة getKnowledgeBaseForInitialization. طبق تقسيم الشبكة لتقييد الوصول إلى نقطة نهاية واجهة برمجة تطبيقات التكوين. راقب سجلات الوصول للكشف عن محاولات معالجة kbId المريبة. فكر في تطبيق قواعد جدار الحماية لتطبيقات الويب للكشف عن محاولات الاستغلال وحجبها.

📋 خريطة الامتثال التنظيمي

🟢 NCA ECC 2024

5.1.1 5.1.2 5.2.1

🔵 SAMA CSF

AC-2 AC-3 AC-6

🟡 ISO 27001:2022

A.9.1.1 A.9.2.1 A.9.2.5

🔗 المراجع والمصادر 4

🔗

https://gist.github.com/YLChen-007/1cdc50418f29af7ae671466425e52c7b

cna@vuldb.com

Exploit Third Party Advisory

🔗

https://vuldb.com/submit/812172

cna@vuldb.com

Exploit Third Party Advisory VDB Entry

🔗

https://vuldb.com/vuln/364410

cna@vuldb.com

Third Party Advisory VDB Entry

🔗

https://vuldb.com/vuln/364410/cti

cna@vuldb.com

Permissions Required VDB Entry

📦 المنتجات المتأثرة 1 منتج

tencent:weknora

📊 CVSS Score

6.3

/ 10.0 — متوسط

📊 CVSS Vector

CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:L/A:L

Attack VectorN — None / Network

Attack ComplexityL — Low / Local

Privileges RequiredL — Low / Local

User InteractionN — None / Network

ScopeU — Unchanged

ConfidentialityL — Low / Local

IntegrityL — Low / Local

AvailabilityL — Low / Local

📋 حقائق سريعة

الخطورة متوسط

CVSS Score6.3

CWECWE-285

EPSS0.03%

اختراق متاح ✓ نعم

تصحيح متاح ✗ لا

تاريخ النشر 2026-05-18

المصدر nvd

المشاهدات 1

🇸🇦 درجة المخاطر السعودية

6.0

/ 10.0 — مخاطر السعودية

أولوية: MEDIUM

🏷️ الوسوم

CWE-285

⚡ إجراءات

🔗 NVD Official Page ⚡ Exploit-DB Search 🐙 GitHub PoC Search 🎯 MITRE ATT&CK 📊 CVE Details

CVE-2026-8786

عرّفنا بنفسك

تسجيل الدخول مطلوب