📧 info@ciso.sa | 📱 +966550939344 | الرياض، المملكة العربية السعودية
عن المنصة الأسئلة الشائعة اتصل بنا شروط الخدمة سياسة الخصوصية 🌐 English
🔐

مرحباً — سجّل دخولك أو أنشئ حساباً للوصول الكامل.

🔑 دخول ✨ حساب جديد
🌐 EN تسجيل الدخول إنشاء حساب
🔧 صيانة مجدولة — السبت 2:00-4:00 صباحاً. قد تكون بعض الميزات غير متاحة مؤقتاً.    ●   
💎
خطة Pro بخصم 50% احصل على جميع ميزات AI والتقارير غير المحدودة والدعم ذي الأولوية. الترقية الآن
مركز البحث
ESC للإغلاق
تنقل فتح Ctrl+K بحث
CISO Consulting
Global vulnerability التعليم العالي CRITICAL 3h Global data_breach القطاع الحكومي HIGH 4h Global supply_chain تطوير البرمجيات والمجتمعات مفتوحة المصدر CRITICAL 4h Global malware تطوير البرمجيات CRITICAL 5h Global phishing قطاعات متعددة HIGH 5h Global vulnerability تطبيقات الويب CRITICAL 6h Global apt البنية التحتية الحرجة CRITICAL 6h Global ransomware قطاعات متعددة CRITICAL 6h Global supply_chain تطوير البرمجيات، البنية التحتية لتكنولوجيا المعلومات، التكنولوجيا CRITICAL 7h Global vulnerability,data_breach,general التكنولوجيا، أنظمة التحكم الصناعي، الاتصالات HIGH 8h Global vulnerability التعليم العالي CRITICAL 3h Global data_breach القطاع الحكومي HIGH 4h Global supply_chain تطوير البرمجيات والمجتمعات مفتوحة المصدر CRITICAL 4h Global malware تطوير البرمجيات CRITICAL 5h Global phishing قطاعات متعددة HIGH 5h Global vulnerability تطبيقات الويب CRITICAL 6h Global apt البنية التحتية الحرجة CRITICAL 6h Global ransomware قطاعات متعددة CRITICAL 6h Global supply_chain تطوير البرمجيات، البنية التحتية لتكنولوجيا المعلومات، التكنولوجيا CRITICAL 7h Global vulnerability,data_breach,general التكنولوجيا، أنظمة التحكم الصناعي، الاتصالات HIGH 8h Global vulnerability التعليم العالي CRITICAL 3h Global data_breach القطاع الحكومي HIGH 4h Global supply_chain تطوير البرمجيات والمجتمعات مفتوحة المصدر CRITICAL 4h Global malware تطوير البرمجيات CRITICAL 5h Global phishing قطاعات متعددة HIGH 5h Global vulnerability تطبيقات الويب CRITICAL 6h Global apt البنية التحتية الحرجة CRITICAL 6h Global ransomware قطاعات متعددة CRITICAL 6h Global supply_chain تطوير البرمجيات، البنية التحتية لتكنولوجيا المعلومات، التكنولوجيا CRITICAL 7h Global vulnerability,data_breach,general التكنولوجيا، أنظمة التحكم الصناعي، الاتصالات HIGH 8h
الثغرات

CVE-2018-25248

مرتفع ⚡ اختراق متاح
CWE-79 — نوع الضعف
نُشر: Apr 4, 2026  ·  آخر تحديث: Apr 11, 2026  ·  المصدر: NVD
CVSS v3
7.2
🔗 NVD الرسمي
📄 الوصف (الإنجليزية)

MyBB Downloads Plugin 2.0.3 contains a persistent cross-site scripting vulnerability that allows regular members to inject malicious scripts through the download title field. Attackers can submit a new download with HTML/JavaScript code in the title parameter, which executes when administrators validate the download in downloads.php.

🤖 ملخص AI

MyBB Downloads Plugin 2.0.3 contains a persistent XSS vulnerability allowing regular members to inject malicious scripts through download titles, which execute when administrators validate downloads. This high-severity flaw (CVSS 7.2) affects community platforms and content management systems widely deployed in Saudi organizations. With public exploits available and no official patch, immediate mitigation is critical to prevent administrative account compromise and data theft.

📄 الوصف (العربية)

🤖 التحليل الذكي آخر تحليل: May 7, 2026 22:39
🇸🇦 التأثير على المملكة العربية السعودية
Government agencies and educational institutions using MyBB for community portals face significant risk of administrative account compromise. Saudi telecommunications companies (STC, Mobily) and financial institutions operating customer forums are vulnerable to credential theft and data exfiltration. Healthcare organizations using MyBB for patient portals could experience HIPAA-equivalent compliance violations. The vulnerability enables attackers to harvest admin session tokens, modify system configurations, and access sensitive organizational data. Small to medium enterprises across all sectors relying on MyBB for internal knowledge management systems are particularly exposed.
🏢 القطاعات السعودية المتأثرة
Government Education Telecommunications Banking and Financial Services Healthcare Energy Retail Manufacturing
⚖️ درجة المخاطر السعودية (AI)
7.8
/ 10.0
🔧 Remediation Steps (English)
IMMEDIATE ACTIONS:

1. Disable the MyBB Downloads Plugin 2.0.3 immediately if not actively required

2. Restrict download submission permissions to trusted administrative users only

3. Implement input validation: sanitize all download title submissions using htmlspecialchars() and strip_tags()

4. Enable Content Security Policy (CSP) headers: Content-Security-Policy: default-src 'self'; script-src 'self'

5. Review audit logs for suspicious download submissions with HTML/JavaScript patterns



PATCHING GUIDANCE:

- Upgrade to MyBB Downloads 2.0.4 or later when available

- If upgrade unavailable, apply manual code patch to downloads.php: escape output in download title display using proper encoding functions

- Implement Web Application Firewall (WAF) rules to block script tags in download parameters



COMPENSATING CONTROLS:

- Deploy ModSecurity with OWASP CRS rules to detect XSS payloads

- Implement admin approval workflow with secondary validation before download publication

- Use browser security extensions (uBlock Origin, NoScript) on admin workstations

- Monitor for suspicious JavaScript execution in admin sessions



DETECTION RULES:

- Alert on download submissions containing: <script>, javascript:, onerror=, onload=, event handlers

- Monitor downloads.php access logs for encoded payloads (%3Cscript, &#60;script)

- Track admin account activity for unusual API calls or configuration changes post-validation
🔧 خطوات المعالجة (العربية)
الإجراءات الفورية:

1. تعطيل مكون MyBB Downloads 2.0.3 فوراً إذا لم يكن مطلوباً بنشاط

2. تقييد أذونات إرسال التنزيلات للمستخدمين الإداريين الموثوقين فقط

3. تنفيذ التحقق من الإدخال: تطهير جميع عمليات إرسال عنوان التنزيل باستخدام htmlspecialchars() و strip_tags()

4. تفعيل رؤوس سياسة أمان المحتوى: Content-Security-Policy: default-src 'self'; script-src 'self'

5. مراجعة سجلات التدقيق للتنزيلات المريبة التي تحتوي على أنماط HTML/JavaScript



إرشادات التصحيح:

- الترقية إلى MyBB Downloads 2.0.4 أو إصدار أحدث عند توفره

- إذا كانت الترقية غير متاحة، طبق تصحيح الكود اليدوي على downloads.php: تشفير الإخراج في عرض عنوان التنزيل باستخدام وظائف الترميز المناسبة

- تنفيذ قواعد جدار الحماية لتطبيقات الويب (WAF) لحظر علامات البرامج النصية في معاملات التنزيل



الضوابط التعويضية:

- نشر ModSecurity مع قواعد OWASP CRS للكشف عن حمولات XSS

- تنفيذ سير عمل الموافقة الإدارية مع التحقق الثانوي قبل نشر التنزيل

- استخدام امتدادات أمان المتصفح (uBlock Origin, NoScript) على محطات العمل الإدارية

- مراقبة تنفيذ JavaScript المريب في جلسات المسؤول



قواعد الكشف:

- تنبيه على إرسالات التنزيل التي تحتوي على: <script>, javascript:, onerror=, onload=, معالجات الأحداث

- مراقبة سجلات الوصول downloads.php للحمولات المشفرة (%3Cscript, &#60;script)

- تتبع نشاط حساب المسؤول للاتصالات غير العادية أو تغييرات التكوين بعد التحقق
📋 خريطة الامتثال التنظيمي
🟢 NCA ECC 2024
ECC 2024 A.14.2.1 - Information security requirements for supplier relationships (third-party plugin security) ECC 2024 A.14.2.5 - Addressing information security in supplier agreements (patch management requirements) ECC 2024 A.12.6.1 - Management of technical vulnerabilities (timely remediation of XSS flaws)
🔵 SAMA CSF
SAMA CSF 2.2 - Vulnerability Management (identification and remediation of XSS vulnerabilities) SAMA CSF 3.1 - Access Control (preventing unauthorized administrative access via XSS) SAMA CSF 4.2 - Data Protection (preventing data exfiltration through compromised admin accounts)
🟡 ISO 27001:2022
ISO 27001:2022 A.12.6.1 - Management of technical vulnerabilities and exposures ISO 27001:2022 A.14.2.1 - Supplier security requirements ISO 27001:2022 A.5.23 - Information security for supplier relationships
🟣 PCI DSS v4.0.1
PCI DSS 6.2 - Ensure security patches are installed within defined timeframe PCI DSS 6.5.7 - Cross-site scripting prevention
📦 المنتجات المتأثرة 1 منتج
mybb:mybb_downloads:2.0.3
📊 CVSS Score
7.2
/ 10.0 — مرتفع
📊 CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:L/I:L/A:N
Attack VectorN — None / Network
Attack ComplexityL — Low / Local
Privileges RequiredN — None / Network
User InteractionN — None / Network
ScopeC — Changed
ConfidentialityL — Low / Local
IntegrityL — Low / Local
AvailabilityN — None / Network
📋 حقائق سريعة
الخطورة مرتفع
CVSS Score7.2
CWECWE-79
EPSS0.03%
اختراق متاح ✓ نعم
تصحيح متاح ✗ لا
تاريخ النشر 2026-04-04
المصدر nvd
المشاهدات 4
🇸🇦 درجة المخاطر السعودية
7.8
/ 10.0 — مخاطر السعودية
أولوية: HIGH
🏷️ الوسوم
CWE-79
⚡ إجراءات
🔗 NVD Official Page ⚡ Exploit-DB Search 🐙 GitHub PoC Search 🎯 MITRE ATT&CK 📊 CVE Details
مشاركة ثغرة
LinkedIn X / Twitter WhatsApp Telegram

💬 التعليقات

0
جارٍ التحميل
📣 وجدت هذا مفيداً؟
شاركه مع شبكة الأمن السيبراني الخاصة بك
in لينكدإن 𝕏 تويتر 💬 واتساب ✈ تليجرام
🍪 إعدادات الخصوصية
سيزو للاستشارات — متوافق مع نظام حماية البيانات الشخصية السعودي (PDPL)
نستخدم ملفات تعريف الارتباط والتقنيات المشابهة لتوفير أفضل تجربة على منصتنا. يمكنك اختيار الأنواع التي تقبلها.
🔒
ملفات ضرورية Always On
مطلوبة لعمل الموقع بشكل صحيح. لا يمكن تعطيلها.
📋 الجلسات، CSRF، المصادقة، تفضيلات اللغة
📊
ملفات التحليلات
تساعدنا في فهم كيفية استخدام الزوار للموقع وتحسين الأداء.
📋 إحصائيات الصفحات، مدة الجلسة، مصدر الزيارة
⚙️
ملفات وظيفية
تتيح ميزات محسنة مثل تخصيص المحتوى والتفضيلات.
📋 السمة المظلمة/الفاتحة، حجم الخط، لوحات التحكم المخصصة
📣
ملفات تسويقية
تُستخدم لتقديم محتوى وإعلانات ذات صلة باهتماماتك.
📋 تتبع الحملات، إعادة الاستهداف، تحليلات وسائل التواصل
سياسة الخصوصية →
مساعد CISO الذكي
اسألني أي شيء · وثائق · دعم
🔐

عرّفنا بنفسك

أدخل بياناتك للوصول إلى المساعد الكامل

معلوماتك آمنة ولن تُشارك
💬
المساعد السيبراني
متصل — يرد في ثوانٍ
5 / 5
🔐 تحقق من هويتك

أدخل بريدك الإلكتروني لإرسال رمز تحقق قبل إرسال طلب الدعم.

Enter للإرسال · / للأوامر 0 / 2000
CISO AI · مدعوم بالذكاء الاصطناعي
✦ استطلاع سريع ساعدنا في تحسين منصة سيزو للاستشارات ملاحظاتك تشكّل مستقبل منصتنا — لا تستغرق سوى دقيقتين.
⚠ يرجى الإجابة على هذا السؤال للمتابعة

كيف تقيّم تجربتك العامة مع منصتنا؟

قيّم من 1 (ضعيف) إلى 5 (ممتاز)

🎉
شكراً جزيلاً!
تم تسجيل إجابتك بنجاح.