الثغرات ›

CVE-2026-9372

مرتفع

CWE-918 — نوع الضعف

                    نُشر: May 24, 2026                      ·  آخر تحديث: May 31, 2026                      ·  المصدر: NVD                

CVSS v3

7.3

🔗 NVD الرسمي

📄 الوصف (الإنجليزية)

A flaw has been found in ItzCrazyKns Vane up to 1.12.1. This vulnerability affects unknown code of the file src/app/api/providers/route.ts of the component Model Provider API. This manipulation of the argument baseURL causes server-side request forgery. Remote exploitation of the attack is possible. The exploit has been published and may be used. The project was informed of the problem early through an issue report but has not responded yet.

🤖 ملخص AI

A server-side request forgery (SSRF) vulnerability exists in ItzCrazyKns Vane up to version 1.12.1 in the Model Provider API component, allowing remote attackers to manipulate the baseURL parameter. This vulnerability enables attackers to make unauthorized requests from the affected server to internal or external resources.

📄 الوصف (العربية)

تم اكتشاف ثغرة في ItzCrazyKns Vane تؤثر على مكون Model Provider API في الملف src/app/api/providers/route.ts. تسمح الثغرة للمهاجمين بمعالجة معامل baseURL لتنفيذ هجمات server-side request forgery (SSRF) من خادم التطبيق. تم نشر الاستغلال علناً والمشروع لم يستجب للإبلاغ عن المشكلة.

🤖 ملخص تنفيذي (AI)

خادم جانبي لطلب التزييف (SSRF) موجود في ItzCrazyKns Vane حتى الإصدار 1.12.1 في مكون Model Provider API، مما يسمح للمهاجمين البعيدين بمعالجة معامل baseURL. تمكن هذه الثغرة المهاجمين من تقديم طلبات غير مصرح بها من الخادم المتأثر إلى الموارد الداخلية أو الخارجية.

🤖 التحليل الذكي آخر تحليل: May 27, 2026 14:32

🇸🇦 التأثير على المملكة العربية السعودية

Saudi Relevance: medium

🏢 القطاعات السعودية المتأثرة

telecom government banking

🎯 تقنيات MITRE ATT&CK

T1190 T1498 T1570

⚖️ درجة المخاطر السعودية (AI)

7.0

/ 10.0

🔧 Remediation Steps (English)

Upgrade ItzCrazyKns Vane to version 1.12.2 or later immediately. Implement input validation and sanitization for the baseURL parameter. Deploy network segmentation to restrict outbound connections from the application server. Monitor and log all API requests to the Model Provider API endpoint. Consider implementing a Web Application Firewall (WAF) with SSRF detection rules.

🔧 خطوات المعالجة (العربية)

قم بترقية ItzCrazyKns Vane إلى الإصدار 1.12.2 أو أحدث على الفور. قم بتنفيذ التحقق من صحة المدخلات والتطهير لمعامل baseURL. قم بنشر تقسيم الشبكة لتقييد الاتصالات الصادرة من خادم التطبيق. مراقبة وتسجيل جميع طلبات API إلى نقطة نهاية Model Provider API. فكر في تنفيذ جدار حماية تطبيق الويب (WAF) مع قواعد كشف SSRF.

📋 خريطة الامتثال التنظيمي

🟢 NCA ECC 2024

A.13.1.1 A.14.2.1 A.14.2.5

🔵 SAMA CSF

ID.GV-3 PR.IP-1 PR.IP-7 DE.CM-1

🟡 ISO 27001:2022

A.12.6.1 A.13.1.3 A.14.2.1

🔗 المراجع والمصادر 5

🔗

https://github.com/ItzCrazyKns/Vane/

cna@vuldb.com

🔗

https://github.com/ItzCrazyKns/Vane/issues/1124

cna@vuldb.com

🔗

https://vuldb.com/submit/813211

cna@vuldb.com

🔗

https://vuldb.com/vuln/365336

cna@vuldb.com

🔗

https://vuldb.com/vuln/365336/cti

cna@vuldb.com

📊 CVSS Score

7.3

/ 10.0 — مرتفع

📊 CVSS Vector

CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:L/A:L

Attack VectorN — None / Network

Attack ComplexityL — Low / Local

Privileges RequiredN — None / Network

User InteractionN — None / Network

ScopeU — Unchanged

ConfidentialityL — Low / Local

IntegrityL — Low / Local

AvailabilityL — Low / Local

📋 حقائق سريعة

الخطورة مرتفع

CVSS Score7.3

CWECWE-918

EPSS0.04%

اختراق متاح لا

تصحيح متاح ✗ لا

تاريخ النشر 2026-05-24

المصدر nvd

المشاهدات 1

🇸🇦 درجة المخاطر السعودية

7.0

/ 10.0 — مخاطر السعودية

أولوية: HIGH

🏷️ الوسوم

CWE-918

⚡ إجراءات

🔗 NVD Official Page ⚡ Exploit-DB Search 🐙 GitHub PoC Search 🎯 MITRE ATT&CK 📊 CVE Details

CVE-2026-9372

عرّفنا بنفسك

تسجيل الدخول مطلوب