1Panel-dev CordysCRM حتى 1.6.2 RequestParamTrimConfig.java البرمجة عبر المواقع
| CVSS الدرجة المؤقتة للميتا | سعر الإكسبلويت الحالي (≈) | درجة اهتمام CTI |
|---|---|---|
| 2.2 | $0-$5k | 1.77 |
الملخص
هناك ثغرة تم تصنيفها كـ مشكلة صعبة الحل تم اكتشافها في 1Panel-dev CordysCRM حتى 1.6.2. تتعلق المشكلة بوظيفة غير معروفة في الملف backend/framework/src/main/java/cn/cordys/config/RequestParamTrimConfig.java. ينتج عن التلاعب حدوث البرمجة عبر المواقع. تحمل هذه الثغرة المعرف CVE-2026-10514. يمكن شن الهجمة الإلكترونية هذه عن بعد. علاوة على ذلك، يوجد استغلال متاح. من المستحسن ترقية المكون المتضرر.
التفاصيل
هناك ثغرة تم تصنيفها كـ مشكلة صعبة الحل تم اكتشافها في 1Panel-dev CordysCRM حتى 1.6.2. تتعلق المشكلة بوظيفة غير معروفة في الملف backend/framework/src/main/java/cn/cordys/config/RequestParamTrimConfig.java. ينتج عن التلاعب حدوث البرمجة عبر المواقع. عبر استخدام CWE في وصف المشكلة، سيتم الإشارة إلى CWE-79. المشكلة تمت مشاركتها بتاريخ كـ 2229. يمكنك تنزيل التنبيه من github.com.
تحمل هذه الثغرة المعرف CVE-2026-10514. يمكن شن الهجمة الإلكترونية هذه عن بعد. التفاصيل التقنية متوفرة. شعبية هذه الثغرة أقل من المتوسط. علاوة على ذلك، يوجد استغلال متاح. تم الإعلان عن الثغرة للعامة ومن الممكن استغلالها. يحدد مشروع MITRE ATT&CK تقنية الهجوم على أنها T1059.007.
إذا كان هناك قيمة لـ إثبات المفهوم، فسيتم التصريح بأنه إثبات المفهوم. يمكن تحميل الاستغلال من github.com.
الترقية إلى الإصدار 1.7.0 قادرة على حل هذه المشكلة. الإصدار المحدث جاهز للتنزيل على github.com. أسم الباتش التصحيحي هوc87682afa8df79853299f75489c9d333f7bc5fce. إصلاح الخلل جاهز للتحميل من github.com. من المستحسن ترقية المكون المتضرر.
منتج
المجهز
الأسم
النسخة
الرخصة
موقع إلكتروني
CPE 2.3
CPE 2.2
CVSSv4
VulDB متجه: 🔒VulDB الاعتمادية: 🔍
CVSSv3
VulDB الدرجة الأساسية للميتا: 2.4VulDB الدرجة المؤقتة للميتا: 2.2
VulDB الدرجة الأساسية: 2.4
VulDB الدرجة المؤقتة: 2.2
VulDB متجه: 🔒
VulDB الاعتمادية: 🔍
CVSSv2
| AV | AC | Au | C | I | A |
|---|---|---|---|---|---|
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| متجه | التعقيد | توثيق | السرية | الأمانة | التوفر |
|---|---|---|---|---|---|
| افتح | افتح | افتح | افتح | افتح | افتح |
| افتح | افتح | افتح | افتح | افتح | افتح |
| افتح | افتح | افتح | افتح | افتح | افتح |
VulDB الدرجة الأساسية: 🔒
VulDB الدرجة المؤقتة: 🔒
VulDB الاعتمادية: 🔍
استغلال
الفئة: البرمجة عبر المواقعCWE: CWE-79 / CWE-94 / CWE-74
CAPEC: 🔒
ATT&CK: 🔒
ملموس: لا
محلي: لا
عن بُعد: نعم
التوفر: 🔒
وصول: عام
الحالة: إثبات المفهوم
تحميل: 🔒
EPSS Score: 🔒
EPSS Percentile: 🔒
تقدير السعر: 🔍
تقدير السعر الحالي: 🔒
| 0-Day | افتح | افتح | افتح | افتح |
|---|---|---|---|---|
| اليوم | افتح | افتح | افتح | افتح |
استخبارات التهديد
الاهتمام: 🔍الفاعلون النشطون: 🔍
مجموعات APT النشطة: 🔍
إجراءات مضادة
التوصية: ترقيةالحالة: 🔍
زمن الهجوم الفوري: 🔒
ترقية: CordysCRM 1.7.0
تصحيح: c87682afa8df79853299f75489c9d333f7bc5fce
الجدول الزمني
01/06/2026 تم نشر الاستشارة01/06/2026 تم إنشاء إدخال VulDB
03/06/2026 آخر تحديث في VulDB
المصادر
منتج: github.comاستشارة: 2229
الحالة: مؤكد
تأكيد: 🔒
CVE: CVE-2026-10514 (🔒)
GCVE (CVE): GCVE-0-2026-10514
GCVE (VulDB): GCVE-100-367596
EUVD: 🔒
CNNVD: CNNVD-202606-595 - FIT2CLOUD CordysCRM 代码注入漏洞
scip Labs: https://www.scip.ch/en/?labs.20161013
إدخال
تم الإنشاء: 01/06/2026 07:54 AMتم التحديث: 03/06/2026 07:02 PM
التغييرات: 01/06/2026 07:54 AM (61), 02/06/2026 05:04 AM (1), 03/06/2026 07:02 PM (6)
كامل: 🔍
المقدم: DaytimeHeaven
Cache ID: 216::103
إرسال
تمت الموافقة
- إرسال #828296: https://github.com/1Panel-dev/CordysCRM CordysCRM v1.4.1 Stored XSS (بحسب DaytimeHeaven)
Once again VulDB remains the best source for vulnerability data.
لا توجد تعليقات بعد اللغات: ar + fa + en.
يرجى تسجيل الدخول حتى تتمكن من التعليق