جاري التحميل
📧 info@ciso.sa | 📱 +966550939344 | الرياض، المملكة العربية السعودية
عن المنصة الأسئلة الشائعة اتصل بنا شروط الخدمة سياسة الخصوصية 🌐 English
🔐

مرحباً — سجّل دخولك أو أنشئ حساباً للوصول الكامل.

🔑 دخول ✨ حساب جديد
🌐 EN تسجيل الدخول إنشاء حساب
🔧 صيانة مجدولة — السبت 2:00-4:00 صباحاً. قد تكون بعض الميزات غير متاحة مؤقتاً.    ●   
💎
خطة Pro بخصم 50% احصل على جميع ميزات AI والتقارير غير المحدودة والدعم ذي الأولوية. ترقّ الآن
مركز البحث
ESC للإغلاق
تنقل فتح Ctrl+K بحث
CISO Consulting
Global vulnerability أنظمة التحكم الصناعية / إنترنت الأشياء / البنية التحتية CRITICAL 2h Global phishing قطاعات متعددة HIGH 3h Global insider خدمات الأمن السيبراني CRITICAL 3h Global ransomware قطاعات متعددة (الشركات الأمريكية) CRITICAL 3h Global malware الخدمات المالية والعملات المشفرة CRITICAL 3h Global malware تكنولوجيا والخدمات السحابية HIGH 3h Global general الخدمات المالية والتجارة الإلكترونية MEDIUM 4h Global data_breach وسائل التواصل الاجتماعي والاتصالات CRITICAL 4h Global general عمليات الأمن السيبراني HIGH 5h Global phishing قطاع التكنولوجيا والخدمات الاستهلاكية HIGH 5h Global vulnerability أنظمة التحكم الصناعية / إنترنت الأشياء / البنية التحتية CRITICAL 2h Global phishing قطاعات متعددة HIGH 3h Global insider خدمات الأمن السيبراني CRITICAL 3h Global ransomware قطاعات متعددة (الشركات الأمريكية) CRITICAL 3h Global malware الخدمات المالية والعملات المشفرة CRITICAL 3h Global malware تكنولوجيا والخدمات السحابية HIGH 3h Global general الخدمات المالية والتجارة الإلكترونية MEDIUM 4h Global data_breach وسائل التواصل الاجتماعي والاتصالات CRITICAL 4h Global general عمليات الأمن السيبراني HIGH 5h Global phishing قطاع التكنولوجيا والخدمات الاستهلاكية HIGH 5h Global vulnerability أنظمة التحكم الصناعية / إنترنت الأشياء / البنية التحتية CRITICAL 2h Global phishing قطاعات متعددة HIGH 3h Global insider خدمات الأمن السيبراني CRITICAL 3h Global ransomware قطاعات متعددة (الشركات الأمريكية) CRITICAL 3h Global malware الخدمات المالية والعملات المشفرة CRITICAL 3h Global malware تكنولوجيا والخدمات السحابية HIGH 3h Global general الخدمات المالية والتجارة الإلكترونية MEDIUM 4h Global data_breach وسائل التواصل الاجتماعي والاتصالات CRITICAL 4h Global general عمليات الأمن السيبراني HIGH 5h Global phishing قطاع التكنولوجيا والخدمات الاستهلاكية HIGH 5h
الثغرات

CVE-2026-22601

مرتفع
ثغرة حقن أوامر في OpenProject عبر إعدادات Sendmail
CWE-77 — نوع الضعف
نُشر: Jan 10, 2026  ·  آخر تحديث: Feb 28, 2026  ·  المصدر: NVD
CVSS v3
7.2
🔗 NVD الرسمي
📄 الوصف (الإنجليزية)

OpenProject is an open-source, web-based project management software. For OpenProject version 16.6.1 and below, a registered administrator can execute arbitrary command by configuring sendmail binary path and sending a test email. This issue has been patched in version 16.6.2.

🤖 ملخص AI

OpenProject versions 16.6.1 and below contain a critical command injection vulnerability (CWE-77) allowing authenticated administrators to execute arbitrary system commands by manipulating the sendmail binary path configuration and triggering a test email. The vulnerability has been patched in version 16.6.2.

📄 الوصف (العربية)

تؤثر هذه الثغرة الأمنية على نظام إدارة المشاريع مفتوح المصدر OpenProject في الإصدارات 16.6.1 وما قبلها. يمكن للمسؤول المصادق عليه استغلال آلية إعدادات البريد الإلكتروني عبر تعديل مسار ملف sendmail الثنائي وإدخال أوامر ضارة يتم تنفيذها عند إرسال بريد اختباري. تصنف الثغرة ضمن CWE-77 (حقن الأوامر) وتحمل درجة خطورة 7.2 على مقياس CVSS. يتطلب الاستغلال صلاحيات إدارية مما يقلل من احتمالية الاستغلال الخارجي لكنه يشكل خطراً كبيراً في حالات اختراق حسابات المسؤولين أو التهديدات الداخلية.

🤖 ملخص تنفيذي (AI)

تحتوي إصدارات OpenProject 16.6.1 وما دون على ثغرة حقن أوامر حرجة تسمح للمسؤولين المصادق عليهم بتنفيذ أوامر نظام عشوائية من خلال التلاعب بمسار sendmail وإرسال بريد اختباري. تم إصلاح الثغرة في الإصدار 16.6.2.

🤖 التحليل الذكي آخر تحليل: Feb 28, 2026 08:12
🇸🇦 التأثير على المملكة العربية السعودية
Saudi organizations using OpenProject for project management face significant risk of complete system compromise if administrator accounts are compromised. This is particularly critical for government entities and enterprises managing sensitive projects under NCA and SAMA oversight, as attackers could gain full server control, exfiltrate confidential project data, or pivot to connected systems.
🏢 القطاعات السعودية المتأثرة
القطاع الحكومي القطاع المالي والمصرفي قطاع الاتصالات وتقنية المعلومات قطاع الطاقة والمرافق قطاع التعليم قطاع الرعاية الصحية
⚖️ درجة المخاطر السعودية (AI)
8.0
/ 10.0
🔧 Remediation Steps (English)
1. Immediately upgrade all OpenProject installations to version 16.6.2 or later to patch the command injection vulnerability

2. Conduct security audit of all administrator accounts, enforce MFA, review recent email configuration changes and system logs for suspicious sendmail path modifications or test email activities

3. Implement principle of least privilege by restricting administrator access, deploy application-level controls to validate and sanitize sendmail binary paths, and isolate OpenProject servers using network segmentation
🔧 خطوات المعالجة (العربية)
1. الترقية الفورية لجميع تثبيتات OpenProject إلى الإصدار 16.6.2 أو أحدث لإصلاح ثغرة حقن الأوامر

2. إجراء مراجعة أمنية شاملة لجميع حسابات المسؤولين وتفعيل المصادقة متعددة العوامل ومراجعة سجلات التغييرات الأخيرة في إعدادات البريد الإلكتروني والأنشطة المشبوهة المتعلقة بتعديل مسار sendmail

3. تطبيق مبدأ الصلاحيات الأقل امتيازاً بتقييد الوصول الإداري ونشر ضوابط على مستوى التطبيق للتحقق من مسارات sendmail وعزل خوادم OpenProject باستخدام تجزئة الشبكة
📋 خريطة الامتثال التنظيمي
🟢 NCA ECC 2024
ECC-1-2 (Vulnerability Management) ECC-3-1 (Access Control) ECC-4-1 (System Hardening) ECC-5-2 (Security Monitoring)
🔵 SAMA CSF
CCC-1.1.1 (Cybersecurity Policy) CCC-3.1.1 (Vulnerability Assessment) CCC-4.2.1 (Privileged Access Management) CCC-6.1.1 (Security Monitoring)
🟡 ISO 27001:2022
A.12.6.1 (Technical Vulnerability Management) A.9.2.3 (Management of Privileged Access Rights) A.14.2.5 (Secure System Engineering Principles)
📦 المنتجات المتأثرة 1 منتج
openproject:openproject
📊 CVSS Score
7.2
/ 10.0 — مرتفع
📊 CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:H
Attack VectorN — None / Network
Attack ComplexityL — Low / Local
Privileges RequiredH — High
User InteractionN — None / Network
ScopeU — Unchanged
ConfidentialityH — High
IntegrityH — High
AvailabilityH — High
📋 حقائق سريعة
الخطورة مرتفع
CVSS Score7.2
CWECWE-77
EPSS0.08%
اختراق متاح لا
تصحيح متاح ✓ نعم
تاريخ النشر 2026-01-10
المصدر nvd
المشاهدات 3
🇸🇦 درجة المخاطر السعودية
8.0
/ 10.0 — مخاطر السعودية
أولوية: HIGH
🏷️ الوسوم
CWE-77
🏢 توجيهات البائع
🔗 https://github.com/opf/openproject/security/advisori...
⚡ إجراءات
🔗 NVD Official Page ⚡ Exploit-DB Search 🐙 GitHub PoC Search 🎯 MITRE ATT&CK 📊 CVE Details
مشاركة ثغرة
LinkedIn X / Twitter WhatsApp Telegram
📣 وجدت هذا مفيداً؟
شاركه مع شبكة الأمن السيبراني الخاصة بك
in لينكدإن 𝕏 تويتر 💬 واتساب ✈ تليجرام
🍪 إعدادات الخصوصية
سيزو للاستشارات — متوافق مع نظام حماية البيانات الشخصية السعودي (PDPL)
نستخدم ملفات تعريف الارتباط والتقنيات المشابهة لتوفير أفضل تجربة على منصتنا. يمكنك اختيار الأنواع التي تقبلها.
🔒
ملفات ضرورية Always On
مطلوبة لعمل الموقع بشكل صحيح. لا يمكن تعطيلها.
📋 الجلسات، CSRF، المصادقة، تفضيلات اللغة
📊
ملفات التحليلات
تساعدنا في فهم كيفية استخدام الزوار للموقع وتحسين الأداء.
📋 إحصائيات الصفحات، مدة الجلسة، مصدر الزيارة
⚙️
ملفات وظيفية
تتيح ميزات محسنة مثل تخصيص المحتوى والتفضيلات.
📋 السمة المظلمة/الفاتحة، حجم الخط، لوحات التحكم المخصصة
📣
ملفات تسويقية
تُستخدم لتقديم محتوى وإعلانات ذات صلة باهتماماتك.
📋 تتبع الحملات، إعادة الاستهداف، تحليلات وسائل التواصل
سياسة الخصوصية →
مساعد CISO الذكي
اسألني أي شيء · وثائق · دعم
🔐

عرّفنا بنفسك

أدخل بياناتك للوصول إلى المساعد الكامل

معلوماتك آمنة ولن تُشارك
💬
المساعد السيبراني
متصل — يرد في ثوانٍ
5 / 5
🔐 تحقق من هويتك

أدخل بريدك الإلكتروني لإرسال رمز تحقق قبل إرسال طلب الدعم.

Enter للإرسال · / للأوامر 0 / 2000
CISO AI · مدعوم بالذكاء الاصطناعي
✦ استطلاع سريع ساعدنا في تحسين منصة سيزو للاستشارات ملاحظاتك تشكّل مستقبل منصتنا — لا تستغرق سوى دقيقتين.
⚠ يرجى الإجابة على هذا السؤال للمتابعة

كيف تقيّم تجربتك العامة مع منصتنا؟

قيّم من 1 (ضعيف) إلى 5 (ممتاز)

🎉
شكراً جزيلاً!
تم تسجيل إجابتك بنجاح.