📧 info@ciso.sa | 📱 +966550939344 | الرياض، المملكة العربية السعودية
عن المنصة الأسئلة الشائعة اتصل بنا شروط الخدمة سياسة الخصوصية 🌐 English
🔐

مرحباً — سجّل دخولك أو أنشئ حساباً للوصول الكامل.

🔑 دخول ✨ حساب جديد
🌐 EN تسجيل الدخول إنشاء حساب
🔧 صيانة مجدولة — السبت 2:00-4:00 صباحاً. قد تكون بعض الميزات غير متاحة مؤقتاً.    ●   
💎
خطة Pro بخصم 50% احصل على جميع ميزات AI والتقارير غير المحدودة والدعم ذي الأولوية. الترقية الآن
مركز البحث
ESC للإغلاق
تنقل فتح Ctrl+K بحث
CISO Consulting
Global insider التعليم HIGH 5h Global supply_chain تطوير البرمجيات والتكنولوجيا HIGH 10h Global apt الحكومة والبنية التحتية الحرجة CRITICAL 12h Global vulnerability برامج المؤسسات / تحليل البيانات CRITICAL 12h Global vulnerability الذكاء الاصطناعي والتكنولوجيا HIGH 16h Global general قطاع التكنولوجيا والذكاء الاصطناعي MEDIUM 19h Global general قطاع التكنولوجيا والذكاء الاصطناعي HIGH 20h Global vulnerability التعليم العالي CRITICAL 1d Global data_breach القطاع الحكومي HIGH 1d Global supply_chain تطوير البرمجيات والمجتمعات مفتوحة المصدر CRITICAL 1d Global insider التعليم HIGH 5h Global supply_chain تطوير البرمجيات والتكنولوجيا HIGH 10h Global apt الحكومة والبنية التحتية الحرجة CRITICAL 12h Global vulnerability برامج المؤسسات / تحليل البيانات CRITICAL 12h Global vulnerability الذكاء الاصطناعي والتكنولوجيا HIGH 16h Global general قطاع التكنولوجيا والذكاء الاصطناعي MEDIUM 19h Global general قطاع التكنولوجيا والذكاء الاصطناعي HIGH 20h Global vulnerability التعليم العالي CRITICAL 1d Global data_breach القطاع الحكومي HIGH 1d Global supply_chain تطوير البرمجيات والمجتمعات مفتوحة المصدر CRITICAL 1d Global insider التعليم HIGH 5h Global supply_chain تطوير البرمجيات والتكنولوجيا HIGH 10h Global apt الحكومة والبنية التحتية الحرجة CRITICAL 12h Global vulnerability برامج المؤسسات / تحليل البيانات CRITICAL 12h Global vulnerability الذكاء الاصطناعي والتكنولوجيا HIGH 16h Global general قطاع التكنولوجيا والذكاء الاصطناعي MEDIUM 19h Global general قطاع التكنولوجيا والذكاء الاصطناعي HIGH 20h Global vulnerability التعليم العالي CRITICAL 1d Global data_breach القطاع الحكومي HIGH 1d Global supply_chain تطوير البرمجيات والمجتمعات مفتوحة المصدر CRITICAL 1d
الثغرات

CVE-2019-25260

مرتفع
OXID eShop versions 6.x prior to 6.3.4 contains a SQL injection vulnerability in the 'sorting' parameter that allows attackers to insert malicious database content. Attackers can exploit the vulnerabi
CWE-89 — نوع الضعف
نُشر: Feb 3, 2026  ·  آخر تحديث: Feb 28, 2026  ·  المصدر: NVD
CVSS v3
8.2
🔗 NVD الرسمي
📄 الوصف (الإنجليزية)

OXID eShop versions 6.x prior to 6.3.4 contains a SQL injection vulnerability in the 'sorting' parameter that allows attackers to insert malicious database content. Attackers can exploit the vulnerability by manipulating the sorting parameter to inject PHP code into the database and execute arbitrary code through crafted URLs.

🤖 ملخص AI

CVE-2019-25260 is a critical SQL injection vulnerability in OXID eShop versions 6.x before 6.3.4 affecting the sorting parameter, allowing unauthenticated attackers to inject malicious code into the database and achieve remote code execution. The vulnerability poses significant risk to e-commerce platforms in Saudi Arabia, particularly those using outdated OXID installations. With a CVSS score of 8.2 and no authentication required, this represents a high-priority threat requiring immediate patching.

📄 الوصف (العربية)

🤖 التحليل الذكي آخر تحليل: Apr 25, 2026 01:56
🇸🇦 التأثير على المملكة العربية السعودية
This vulnerability directly impacts Saudi e-commerce sector organizations, particularly SMEs and retailers using OXID eShop for online sales platforms. High-risk sectors include: (1) Retail & E-commerce - direct compromise of customer data and payment information; (2) Banking & Financial Services - if integrated with payment gateways or SAMA-regulated fintech platforms; (3) Government e-services - if any government procurement or citizen-facing e-commerce platforms use OXID; (4) Telecommunications - if used in online billing or customer portals by STC, Mobily, or Zain. The vulnerability enables complete database compromise, customer PII theft, payment card data exfiltration, and malware distribution to customers.
🏢 القطاعات السعودية المتأثرة
Retail & E-commerce Banking & Financial Services Government & Public Sector Telecommunications Healthcare (if using OXID for patient portals) Logistics & Supply Chain
⚖️ درجة المخاطر السعودية (AI)
8.5
/ 10.0
🔧 Remediation Steps (English)
IMMEDIATE ACTIONS:

1. Identify all OXID eShop 6.x installations in your environment and document versions

2. Disable public access to affected OXID instances immediately or place behind WAF with SQL injection rules

3. Review database access logs for suspicious sorting parameter queries containing SQL keywords (UNION, SELECT, INSERT, etc.)

4. Check for unauthorized database modifications or PHP files in web directories



PATCHING GUIDANCE:

1. Upgrade OXID eShop to version 6.3.4 or later immediately

2. If immediate upgrade not possible, apply vendor security patches from OXID official repository

3. Test patches in staging environment before production deployment

4. Verify sorting functionality works correctly post-patch



COMPENSATING CONTROLS (if patch unavailable):

1. Implement Web Application Firewall (WAF) rules blocking SQL injection patterns in sorting parameter

2. Apply input validation: whitelist only alphanumeric characters and underscores for sorting values

3. Use parameterized queries/prepared statements for all database operations

4. Restrict database user permissions to minimum required privileges

5. Enable database query logging and monitor for anomalies



DETECTION RULES:

1. Monitor HTTP requests with sorting parameter containing: UNION, SELECT, INSERT, DELETE, DROP, EXEC, SCRIPT

2. Alert on database errors in application logs mentioning 'sorting' parameter

3. Track unexpected PHP file creation in web directories

4. Monitor for unusual database user activity or privilege escalation attempts

5. IDS/IPS signatures: Look for SQL keywords in URL-encoded sorting parameters
🔧 خطوات المعالجة (العربية)
الإجراءات الفورية:

1. تحديد جميع تثبيتات OXID eShop 6.x في بيئتك وتوثيق الإصدارات

2. تعطيل الوصول العام للمثيلات المتأثرة فوراً أو وضعها خلف جدار حماية تطبيقات ويب بقواعد حقن SQL

3. مراجعة سجلات الوصول إلى قاعدة البيانات للاستعلامات المريبة في معامل الفرز التي تحتوي على كلمات SQL

4. التحقق من التعديلات غير المصرح بها على قاعدة البيانات أو ملفات PHP في الدلائل



إرشادات التصحيح:

1. ترقية OXID eShop إلى الإصدار 6.3.4 أو أحدث فوراً

2. إذا لم يكن الترقية الفورية ممكنة، طبق تصحيحات الأمان من مستودع OXID الرسمي

3. اختبر التصحيحات في بيئة التطوير قبل نشرها في الإنتاج

4. تحقق من أن وظيفة الفرز تعمل بشكل صحيح بعد التصحيح



الضوابط البديلة:

1. تطبيق قواعد جدار حماية تطبيقات الويب لحظر أنماط حقن SQL في معامل الفرز

2. تطبيق التحقق من الإدخال: قائمة بيضاء بأحرف أبجدية رقمية فقط وشرطات سفلية لقيم الفرز

3. استخدام الاستعلامات المعاملة/البيانات المحضرة لجميع عمليات قاعدة البيانات

4. تقييد أذونات مستخدم قاعدة البيانات للحد الأدنى المطلوب

5. تفعيل تسجيل استعلامات قاعدة البيانات ومراقبة الشذوذ



قواعد الكشف:

1. مراقبة طلبات HTTP مع معامل الفرز يحتوي على: UNION, SELECT, INSERT, DELETE, DROP, EXEC, SCRIPT

2. تنبيهات على أخطاء قاعدة البيانات في سجلات التطبيق المتعلقة بمعامل الفرز

3. تتبع إنشاء ملفات PHP غير المتوقعة في دلائل الويب

4. مراقبة نشاط مستخدم قاعدة البيانات غير العادي أو محاولات تصعيد الامتيازات

5. توقيعات IDS/IPS: البحث عن كلمات SQL في معاملات الفرز المشفرة بـ URL
📋 خريطة الامتثال التنظيمي
🟢 NCA ECC 2024
ECC 2024 A.14.2.1 - Secure development policy and procedures ECC 2024 A.14.2.5 - Secure coding practices and code review ECC 2024 A.12.6.1 - Management of technical vulnerabilities ECC 2024 A.12.2.1 - User endpoint devices protection
🔵 SAMA CSF
SAMA CSF 2.1 - Asset Management and Inventory SAMA CSF 3.2 - Vulnerability Management SAMA CSF 3.3 - Patch Management SAMA CSF 4.1 - Access Control and Authentication
🟡 ISO 27001:2022
ISO 27001:2022 A.8.1 - User endpoint devices ISO 27001:2022 A.12.6.1 - Management of technical vulnerabilities ISO 27001:2022 A.14.2.1 - Secure development policy ISO 27001:2022 A.14.2.5 - Secure coding practices
🟣 PCI DSS v4.0.1
PCI DSS 6.2 - Security patches and updates PCI DSS 6.5.1 - Injection flaws prevention PCI DSS 11.2 - Vulnerability scanning
📊 CVSS Score
8.2
/ 10.0 — مرتفع
📊 CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:L/A:N
Attack VectorN — None / Network
Attack ComplexityL — Low / Local
Privileges RequiredN — None / Network
User InteractionN — None / Network
ScopeU — Unchanged
ConfidentialityH — High
IntegrityL — Low / Local
AvailabilityN — None / Network
📋 حقائق سريعة
الخطورة مرتفع
CVSS Score8.2
CWECWE-89
EPSS0.02%
اختراق متاح لا
تصحيح متاح ✓ نعم
تاريخ النشر 2026-02-03
المصدر nvd
المشاهدات 4
🇸🇦 درجة المخاطر السعودية
8.5
/ 10.0 — مخاطر السعودية
أولوية: CRITICAL
🏷️ الوسوم
CWE-89
⚡ إجراءات
🔗 NVD Official Page ⚡ Exploit-DB Search 🐙 GitHub PoC Search 🎯 MITRE ATT&CK 📊 CVE Details
مشاركة ثغرة
LinkedIn X / Twitter WhatsApp Telegram

💬 التعليقات

0
جارٍ التحميل
📣 وجدت هذا مفيداً؟
شاركه مع شبكة الأمن السيبراني الخاصة بك
in لينكدإن 𝕏 تويتر 💬 واتساب ✈ تليجرام
🍪 إعدادات الخصوصية
سيزو للاستشارات — متوافق مع نظام حماية البيانات الشخصية السعودي (PDPL)
نستخدم ملفات تعريف الارتباط والتقنيات المشابهة لتوفير أفضل تجربة على منصتنا. يمكنك اختيار الأنواع التي تقبلها.
🔒
ملفات ضرورية Always On
مطلوبة لعمل الموقع بشكل صحيح. لا يمكن تعطيلها.
📋 الجلسات، CSRF، المصادقة، تفضيلات اللغة
📊
ملفات التحليلات
تساعدنا في فهم كيفية استخدام الزوار للموقع وتحسين الأداء.
📋 إحصائيات الصفحات، مدة الجلسة، مصدر الزيارة
⚙️
ملفات وظيفية
تتيح ميزات محسنة مثل تخصيص المحتوى والتفضيلات.
📋 السمة المظلمة/الفاتحة، حجم الخط، لوحات التحكم المخصصة
📣
ملفات تسويقية
تُستخدم لتقديم محتوى وإعلانات ذات صلة باهتماماتك.
📋 تتبع الحملات، إعادة الاستهداف، تحليلات وسائل التواصل
سياسة الخصوصية →
مساعد CISO الذكي
اسألني أي شيء · وثائق · دعم
🔐

عرّفنا بنفسك

أدخل بياناتك للوصول إلى المساعد الكامل

معلوماتك آمنة ولن تُشارك
💬
المساعد السيبراني
متصل — يرد في ثوانٍ
5 / 5
🔐 تحقق من هويتك

أدخل بريدك الإلكتروني لإرسال رمز تحقق قبل إرسال طلب الدعم.

Enter للإرسال · / للأوامر 0 / 2000
CISO AI · مدعوم بالذكاء الاصطناعي
✦ استطلاع سريع ساعدنا في تحسين منصة سيزو للاستشارات ملاحظاتك تشكّل مستقبل منصتنا — لا تستغرق سوى دقيقتين.
⚠ يرجى الإجابة على هذا السؤال للمتابعة

كيف تقيّم تجربتك العامة مع منصتنا؟

قيّم من 1 (ضعيف) إلى 5 (ممتاز)

🎉
شكراً جزيلاً!
تم تسجيل إجابتك بنجاح.