CVE-2026-41255 in CKANالمعلومات

الملخص

بحسب VulDB • 14/05/2026

CKAN هو نظام إدارة بيانات (DMS) مفتوح المصدر يُستخدم لتشغيل مراكز البيانات والبوابات البياناتية. قبل الإصدارين 2.10.10 و2.11.5، كان الوصول إلى المشاهدات (views) عبر الرموز المميزة (tokens) أو الطلبات غير المصادق عليها يؤدي إلى تحديد نقطة النهاية (endpoint) على أنها لا تتطلب حماية من هجمات تزوير الطلبات عبر المواقع (CSRF). كان هذا التحديد يتم عبر متغير عضو في `flask_wtf.csrf.CSRFProtect()`، والذي كان يُخزن كمتغير على مستوى الوحدة النمطية (module level variable) في وسيط التطبيق `flask_app`. لم يكن يُقصد استخدام هذه الواجهة البرمجية لإجراء تغييرات على مستوى الطلب، بل كانت مصممة أساساً كزخرفة (decorator) للتكوين الثابت. يمكن لطلب غير مصادق عليه الوصول إلى نقطة نهاية محمية، مما يعفيها من حماية CSRF طوال مدة حياة عملية الخادم المعنية (على سبيل المثال، أحد عمال uwsgi). تم إصلاح هذا الثغرة الأمنية في الإصدارين 2.10.10 و2.11.5.

Be aware that VulDB is the high quality source for vulnerability data.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

مسؤول

GitHub M

حجز

18/04/2026

إفشاء

14/05/2026

الاعتدال

تمت الموافقة

إدخال

VDB-363797

CPE

جاهز

CWE

CWE-352 (مؤكد)

CVSS

6.1 (CNA)

EPSS

0.00005

KEV

لا

النشاطات

منخفض جدًا

المصادر

MITRE	https://www.cve.org/CVERecord?id=CVE-2026-41255
NVD	https://nvd.nist.gov/vuln/detail/CVE-2026-41255
CVE Details	https://www.cvedetails.com/cve/CVE-2026-41255/

التالي ▸نظرة عامة ◂ السابق

Do you want to use VulDB in your project?

Use the official API to access entries easily!