جاري التحميل
📧 info@ciso.sa | 📱 +966550939344 | الرياض، المملكة العربية السعودية
عن المنصة الأسئلة الشائعة اتصل بنا شروط الخدمة سياسة الخصوصية 🌐 English
🔐

مرحباً — سجّل دخولك أو أنشئ حساباً للوصول الكامل.

🔑 دخول ✨ حساب جديد
🌐 EN تسجيل الدخول إنشاء حساب
🔧 صيانة مجدولة — السبت 2:00-4:00 صباحاً. قد تكون بعض الميزات غير متاحة مؤقتاً.    ●   
💎
خطة Pro بخصم 50% احصل على جميع ميزات AI والتقارير غير المحدودة والدعم ذي الأولوية. ترقّ الآن
مركز البحث
ESC للإغلاق
تنقل فتح Ctrl+K بحث
CISO Consulting
Global data_breach القطاع الحكومي CRITICAL 4h Global ransomware الخدمات المالية / الأمن السيبراني CRITICAL 5h Global vulnerability تكنولوجيا المعلومات / الأمن السيبراني CRITICAL 7h Global malware الطاقة والمرافق CRITICAL 7h Global ransomware قطاعات متعددة CRITICAL 8h Global vulnerability أنظمة التحكم الصناعية / إنترنت الأشياء / البنية التحتية CRITICAL 10h Global supply_chain تكنولوجيا المعلومات والبنية التحتية الحرجة CRITICAL 11h Global phishing قطاعات متعددة HIGH 11h Global insider خدمات الأمن السيبراني CRITICAL 11h Global ransomware قطاعات متعددة (الشركات الأمريكية) CRITICAL 12h Global data_breach القطاع الحكومي CRITICAL 4h Global ransomware الخدمات المالية / الأمن السيبراني CRITICAL 5h Global vulnerability تكنولوجيا المعلومات / الأمن السيبراني CRITICAL 7h Global malware الطاقة والمرافق CRITICAL 7h Global ransomware قطاعات متعددة CRITICAL 8h Global vulnerability أنظمة التحكم الصناعية / إنترنت الأشياء / البنية التحتية CRITICAL 10h Global supply_chain تكنولوجيا المعلومات والبنية التحتية الحرجة CRITICAL 11h Global phishing قطاعات متعددة HIGH 11h Global insider خدمات الأمن السيبراني CRITICAL 11h Global ransomware قطاعات متعددة (الشركات الأمريكية) CRITICAL 12h Global data_breach القطاع الحكومي CRITICAL 4h Global ransomware الخدمات المالية / الأمن السيبراني CRITICAL 5h Global vulnerability تكنولوجيا المعلومات / الأمن السيبراني CRITICAL 7h Global malware الطاقة والمرافق CRITICAL 7h Global ransomware قطاعات متعددة CRITICAL 8h Global vulnerability أنظمة التحكم الصناعية / إنترنت الأشياء / البنية التحتية CRITICAL 10h Global supply_chain تكنولوجيا المعلومات والبنية التحتية الحرجة CRITICAL 11h Global phishing قطاعات متعددة HIGH 11h Global insider خدمات الأمن السيبراني CRITICAL 11h Global ransomware قطاعات متعددة (الشركات الأمريكية) CRITICAL 12h
الثغرات

CVE-2019-10149

حرج 🇺🇸 CISA KEV ⚡ اختراق متاح
Exim Mail Transfer Agent (MTA) Improper Input Validation — Improper validation of recipient address in deliver_message() function in /src/deliver.c may lead to remote command execution.
نُشر: Jan 10, 2022  ·  المصدر: CISA_KEV
CVSS v3
9.0
🔗 NVD الرسمي
📄 الوصف (الإنجليزية)

Exim Mail Transfer Agent (MTA) Improper Input Validation — Improper validation of recipient address in deliver_message() function in /src/deliver.c may lead to remote command execution.

🤖 ملخص AI

CVE-2019-10149 is a critical remote code execution vulnerability in Exim Mail Transfer Agent (MTA) versions 4.87 through 4.91, dubbed 'The Return of the WIZard.' The flaw exists in the deliver_message() function where improper validation of recipient addresses allows attackers to execute arbitrary commands with root privileges. Active exploitation has been confirmed in the wild, with multiple threat actors including nation-state groups leveraging this vulnerability. Immediate patching is essential as Exim is widely deployed across internet-facing mail servers globally and in the Middle East region.

📄 الوصف (العربية)

🤖 التحليل الذكي آخر تحليل: Apr 13, 2026 01:33
🇸🇦 التأثير على المملكة العربية السعودية
Saudi organizations face significant risk given the widespread use of Exim MTA across government and enterprise email infrastructure. Key sectors at risk include: Government entities under NCA oversight running Linux-based mail servers; Telecom providers (STC, Mobily, Zain) operating large-scale email relay infrastructure; Banking and financial institutions regulated by SAMA that use Exim for internal or customer-facing mail services; Energy sector organizations including Saudi Aramco and SABIC with operational email gateways; Healthcare institutions under MOH using open-source MTA solutions. Successful exploitation grants root-level access, enabling full server compromise, lateral movement, data exfiltration, and potential disruption of critical communications infrastructure. The NSA has publicly attributed exploitation of this vulnerability to Russian APT group Sandworm, elevating the geopolitical risk for Saudi critical infrastructure.
🏢 القطاعات السعودية المتأثرة
Government Banking Telecom Energy Healthcare Education Defense
⚖️ درجة المخاطر السعودية (AI)
9.5
/ 10.0
🔧 Remediation Steps (English)
IMMEDIATE ACTIONS (within 24 hours):

1. Identify all Exim instances: run 'exim --version' or 'exim4 --version' across all mail servers

2. Check version — vulnerable range is 4.87 to 4.91 inclusive

3. Isolate internet-facing Exim servers if patching cannot be done immediately

4. Review mail server logs for exploitation indicators: unusual RCPT TO patterns, commands in recipient fields, unexpected child processes spawned by Exim



PATCHING GUIDANCE:

1. Upgrade to Exim 4.92 or later immediately (latest stable version preferred)

2. For Debian/Ubuntu: 'apt-get update && apt-get upgrade exim4'

3. For RHEL/CentOS: obtain patched RPM from vendor or compile from source

4. Restart Exim service after patching: 'systemctl restart exim4'

5. Verify patched version: 'exim --version'



COMPENSATING CONTROLS (if immediate patching is not possible):

1. Restrict SMTP access using firewall rules to trusted IP ranges only

2. Deploy a mail relay/gateway (e.g., Postfix, commercial gateway) in front of vulnerable Exim instances

3. Enable enhanced logging and alerting on SMTP connections

4. Disable local delivery if not required



DETECTION RULES:

1. SIEM alert: Monitor for RCPT TO fields containing shell metacharacters (|, ;, $, backtick)

2. IDS/IPS signature: Detect SMTP RCPT TO with '${run{...}}' patterns

3. Monitor for unusual child processes spawned by Exim (e.g., /bin/sh, wget, curl)

4. Check for new cron jobs, SSH keys, or user accounts created post-exploitation

5. Snort/Suricata rule: alert tcp any any -> any 25 (content:"RCPT TO"; pcre:"/RCPT TO.*\$\{run/i"; msg:"Exim CVE-2019-10149 Exploit Attempt";)
🔧 خطوات المعالجة (العربية)
الإجراءات الفورية (خلال 24 ساعة):

1. تحديد جميع نسخ Exim: تشغيل 'exim --version' أو 'exim4 --version' على جميع خوادم البريد

2. التحقق من الإصدار — النطاق المتأثر هو 4.87 إلى 4.91 شاملاً

3. عزل خوادم Exim المكشوفة على الإنترنت إذا تعذّر التصحيح الفوري

4. مراجعة سجلات خادم البريد للكشف عن مؤشرات الاستغلال: أنماط RCPT TO غير معتادة، أوامر في حقول المستلمين، عمليات فرعية غير متوقعة مُطلقة من Exim



إرشادات التصحيح:

1. الترقية إلى Exim 4.92 أو أحدث فورًا (يُفضّل أحدث إصدار مستقر)

2. لـ Debian/Ubuntu: 'apt-get update && apt-get upgrade exim4'

3. لـ RHEL/CentOS: الحصول على RPM المُصحَّح من المورد أو التجميع من المصدر

4. إعادة تشغيل خدمة Exim بعد التصحيح: 'systemctl restart exim4'

5. التحقق من الإصدار المُصحَّح: 'exim --version'



ضوابط التعويض (إذا تعذّر التصحيح الفوري):

1. تقييد الوصول إلى SMTP باستخدام قواعد جدار الحماية لنطاقات IP الموثوقة فقط

2. نشر بوابة/ترحيل بريد (مثل Postfix أو بوابة تجارية) أمام نسخ Exim المعرّضة للخطر

3. تفعيل التسجيل المحسّن والتنبيهات على اتصالات SMTP

4. تعطيل التسليم المحلي إذا لم يكن مطلوبًا



قواعد الكشف:

1. تنبيه SIEM: مراقبة حقول RCPT TO التي تحتوي على محارف خاصة بالصدفة (|، ;، $، backtick)

2. توقيع IDS/IPS: الكشف عن SMTP RCPT TO بأنماط '${run{...}}'

3. مراقبة العمليات الفرعية غير المعتادة المُطلقة من Exim (مثل /bin/sh، wget، curl)

4. التحقق من وجود مهام cron جديدة أو مفاتيح SSH أو حسابات مستخدمين تم إنشاؤها بعد الاستغلال

5. قاعدة Snort/Suricata: alert tcp any any -> any 25 (content:"RCPT TO"; pcre:"/RCPT TO.*\$\{run/i"; msg:"Exim CVE-2019-10149 Exploit Attempt";)
📋 خريطة الامتثال التنظيمي
🟢 NCA ECC 2024
ECC-1-4-2: Cybersecurity Vulnerability Management — patch management for critical vulnerabilities ECC-1-3-2: Asset Management — identification of all mail server assets ECC-2-2-1: Email Security Controls — securing MTA infrastructure ECC-1-5-1: Cybersecurity Event Logs and Monitoring — detection of exploitation attempts ECC-2-1-1: Network Security — restricting unnecessary SMTP exposure
🔵 SAMA CSF
3.3.5 Vulnerability Management — critical patch deployment within defined SLA 3.3.6 Penetration Testing — validation of mail server security posture 3.3.2 Change Management — controlled patching process 3.4.1 Cybersecurity Incident Management — response to active exploitation 3.2.5 Network Security — perimeter controls around mail infrastructure
🟡 ISO 27001:2022
A.12.6.1 Management of Technical Vulnerabilities — timely patching of critical CVEs A.13.1.1 Network Controls — restricting SMTP access A.12.4.1 Event Logging — monitoring for exploitation indicators A.16.1.1 Responsibilities and Procedures — incident response activation A.14.2.2 System Change Control Procedures — patch deployment process
🟣 PCI DSS v4.0
Requirement 6.3.3 — All system components protected from known vulnerabilities by installing applicable security patches Requirement 6.2.4 — Software engineering techniques to prevent common vulnerabilities Requirement 10.4.1 — Log review for security events on mail servers in cardholder data environment Requirement 11.3.1 — Internal vulnerability scanning covering mail server infrastructure
🔗 المراجع والمصادر 0
لا توجد مراجع.
📦 المنتجات المتأثرة 1 منتج
Exim:Mail Transfer Agent (MTA)
📊 CVSS Score
9.0
/ 10.0 — حرج
📋 حقائق سريعة
الخطورة حرج
CVSS Score9.0
EPSS93.93%
اختراق متاح ✓ نعم
تصحيح متاح ✓ نعم
CISA KEV🇺🇸 Yes
تاريخ الإصلاح2022-07-10
تاريخ النشر 2022-01-10
المصدر cisa_kev
المشاهدات 3
🇸🇦 درجة المخاطر السعودية
9.5
/ 10.0 — مخاطر السعودية
🏷️ الوسوم
kev actively-exploited
⚡ إجراءات
🔗 NVD Official Page ⚡ Exploit-DB Search 🐙 GitHub PoC Search 🎯 MITRE ATT&CK 📊 CVE Details
مشاركة ثغرة
LinkedIn X / Twitter WhatsApp Telegram
📣 وجدت هذا مفيداً؟
شاركه مع شبكة الأمن السيبراني الخاصة بك
in لينكدإن 𝕏 تويتر 💬 واتساب ✈ تليجرام
🍪 إعدادات الخصوصية
سيزو للاستشارات — متوافق مع نظام حماية البيانات الشخصية السعودي (PDPL)
نستخدم ملفات تعريف الارتباط والتقنيات المشابهة لتوفير أفضل تجربة على منصتنا. يمكنك اختيار الأنواع التي تقبلها.
🔒
ملفات ضرورية Always On
مطلوبة لعمل الموقع بشكل صحيح. لا يمكن تعطيلها.
📋 الجلسات، CSRF، المصادقة، تفضيلات اللغة
📊
ملفات التحليلات
تساعدنا في فهم كيفية استخدام الزوار للموقع وتحسين الأداء.
📋 إحصائيات الصفحات، مدة الجلسة، مصدر الزيارة
⚙️
ملفات وظيفية
تتيح ميزات محسنة مثل تخصيص المحتوى والتفضيلات.
📋 السمة المظلمة/الفاتحة، حجم الخط، لوحات التحكم المخصصة
📣
ملفات تسويقية
تُستخدم لتقديم محتوى وإعلانات ذات صلة باهتماماتك.
📋 تتبع الحملات، إعادة الاستهداف، تحليلات وسائل التواصل
سياسة الخصوصية →
مساعد CISO الذكي
اسألني أي شيء · وثائق · دعم
🔐

عرّفنا بنفسك

أدخل بياناتك للوصول إلى المساعد الكامل

معلوماتك آمنة ولن تُشارك
💬
المساعد السيبراني
متصل — يرد في ثوانٍ
5 / 5
🔐 تحقق من هويتك

أدخل بريدك الإلكتروني لإرسال رمز تحقق قبل إرسال طلب الدعم.

Enter للإرسال · / للأوامر 0 / 2000
CISO AI · مدعوم بالذكاء الاصطناعي
✦ استطلاع سريع ساعدنا في تحسين منصة سيزو للاستشارات ملاحظاتك تشكّل مستقبل منصتنا — لا تستغرق سوى دقيقتين.
⚠ يرجى الإجابة على هذا السؤال للمتابعة

كيف تقيّم تجربتك العامة مع منصتنا؟

قيّم من 1 (ضعيف) إلى 5 (ممتاز)

🎉
شكراً جزيلاً!
تم تسجيل إجابتك بنجاح.