📧 info@ciso.sa | 📱 +966550939344 | الرياض، المملكة العربية السعودية
عن المنصة الأسئلة الشائعة اتصل بنا شروط الخدمة سياسة الخصوصية 🌐 English
🔐

مرحباً — سجّل دخولك أو أنشئ حساباً للوصول الكامل.

🔑 دخول ✨ حساب جديد
🌐 EN تسجيل الدخول إنشاء حساب
🔧 صيانة مجدولة — السبت 2:00-4:00 صباحاً. قد تكون بعض الميزات غير متاحة مؤقتاً.    ●   
💎
خطة Pro بخصم 50% احصل على جميع ميزات AI والتقارير غير المحدودة والدعم ذي الأولوية. الترقية الآن
مركز البحث
ESC للإغلاق
تنقل فتح Ctrl+K بحث
CISO Consulting
Global insider التعليم HIGH 5h Global supply_chain تطوير البرمجيات والتكنولوجيا HIGH 10h Global apt الحكومة والبنية التحتية الحرجة CRITICAL 12h Global vulnerability برامج المؤسسات / تحليل البيانات CRITICAL 12h Global vulnerability الذكاء الاصطناعي والتكنولوجيا HIGH 16h Global general قطاع التكنولوجيا والذكاء الاصطناعي MEDIUM 19h Global general قطاع التكنولوجيا والذكاء الاصطناعي HIGH 20h Global vulnerability التعليم العالي CRITICAL 1d Global data_breach القطاع الحكومي HIGH 1d Global supply_chain تطوير البرمجيات والمجتمعات مفتوحة المصدر CRITICAL 1d Global insider التعليم HIGH 5h Global supply_chain تطوير البرمجيات والتكنولوجيا HIGH 10h Global apt الحكومة والبنية التحتية الحرجة CRITICAL 12h Global vulnerability برامج المؤسسات / تحليل البيانات CRITICAL 12h Global vulnerability الذكاء الاصطناعي والتكنولوجيا HIGH 16h Global general قطاع التكنولوجيا والذكاء الاصطناعي MEDIUM 19h Global general قطاع التكنولوجيا والذكاء الاصطناعي HIGH 20h Global vulnerability التعليم العالي CRITICAL 1d Global data_breach القطاع الحكومي HIGH 1d Global supply_chain تطوير البرمجيات والمجتمعات مفتوحة المصدر CRITICAL 1d Global insider التعليم HIGH 5h Global supply_chain تطوير البرمجيات والتكنولوجيا HIGH 10h Global apt الحكومة والبنية التحتية الحرجة CRITICAL 12h Global vulnerability برامج المؤسسات / تحليل البيانات CRITICAL 12h Global vulnerability الذكاء الاصطناعي والتكنولوجيا HIGH 16h Global general قطاع التكنولوجيا والذكاء الاصطناعي MEDIUM 19h Global general قطاع التكنولوجيا والذكاء الاصطناعي HIGH 20h Global vulnerability التعليم العالي CRITICAL 1d Global data_breach القطاع الحكومي HIGH 1d Global supply_chain تطوير البرمجيات والمجتمعات مفتوحة المصدر CRITICAL 1d
الثغرات

CVE-2019-25443

مرتفع
Inventory Webapp contains an SQL injection vulnerability that allows unauthenticated attackers to manipulate database queries by injecting SQL code through GET parameters. Attackers can supply malicio
CWE-89 — نوع الضعف
نُشر: Feb 22, 2026  ·  آخر تحديث: Feb 28, 2026  ·  المصدر: NVD
CVSS v3
8.2
🔗 NVD الرسمي
📄 الوصف (الإنجليزية)

Inventory Webapp contains an SQL injection vulnerability that allows unauthenticated attackers to manipulate database queries by injecting SQL code through GET parameters. Attackers can supply malicious SQL payloads in the name, description, quantity, or cat_id parameters to add-item.php to execute arbitrary database commands.

🤖 ملخص AI

CVE-2019-25443 is a critical SQL injection vulnerability in an Inventory Webapp affecting the add-item.php endpoint. Unauthenticated attackers can inject malicious SQL code through GET parameters (name, description, quantity, cat_id) to execute arbitrary database commands, potentially leading to complete database compromise, data exfiltration, and system takeover. With a CVSS score of 8.2 and no authentication required, this vulnerability poses an immediate and severe threat to organizations using this application.

📄 الوصف (العربية)

🤖 التحليل الذكي آخر تحليل: Apr 25, 2026 06:36
🇸🇦 التأثير على المملكة العربية السعودية
This vulnerability poses significant risk to Saudi organizations across multiple sectors: Government agencies using inventory management systems for procurement and asset tracking; Banking sector for internal inventory and supply chain systems; Healthcare institutions (MOH facilities) managing medical supplies and equipment; Energy sector (ARAMCO, utilities) for asset management; Telecommunications (STC, Mobily) for network equipment inventory; and Retail/E-commerce enterprises. The lack of authentication requirement makes it particularly dangerous for internet-facing deployments. Potential impacts include unauthorized access to sensitive inventory data, financial fraud through inventory manipulation, supply chain disruption, and lateral movement to critical systems.
🏢 القطاعات السعودية المتأثرة
Government Banking Healthcare Energy Telecommunications Retail/E-commerce Manufacturing Logistics
⚖️ درجة المخاطر السعودية (AI)
8.5
/ 10.0
🔧 Remediation Steps (English)
IMMEDIATE ACTIONS:

1. Identify all instances of the affected Inventory Webapp in your environment, particularly internet-facing deployments

2. Implement Web Application Firewall (WAF) rules to block SQL injection patterns in GET parameters (name, description, quantity, cat_id) to add-item.php

3. Restrict access to add-item.php to authorized users only using network-level controls

4. Monitor database logs for suspicious SQL queries and unauthorized access attempts



PATCHING GUIDANCE:

1. Apply the available patch immediately to all affected systems

2. Test patches in a non-production environment first

3. Prioritize internet-facing instances for immediate patching

4. Maintain backups before applying patches



COMPENSATING CONTROLS (if patch cannot be applied immediately):

1. Implement input validation and sanitization for all GET parameters

2. Use parameterized queries/prepared statements instead of string concatenation

3. Apply principle of least privilege to database user accounts

4. Disable error messages that reveal database structure

5. Implement rate limiting on add-item.php endpoint



DETECTION RULES:

1. Monitor for SQL keywords in GET parameters: UNION, SELECT, INSERT, DROP, DELETE, OR, AND

2. Alert on multiple failed database queries from same source IP

3. Track unusual database user activity and privilege escalation attempts

4. Log all requests to add-item.php with full parameter values
🔧 خطوات المعالجة (العربية)
الإجراءات الفورية:

1. حدد جميع نسخ تطبيق إدارة المخزون المتأثرة في بيئتك، خاصة النشرات المتاحة على الإنترنت

2. طبق قواعد جدار حماية تطبيقات الويب (WAF) لحجب أنماط حقن SQL في معاملات GET (name و description و quantity و cat_id) إلى add-item.php

3. قيد الوصول إلى add-item.php للمستخدمين المصرح لهم فقط باستخدام عناصر التحكم على مستوى الشبكة

4. راقب سجلات قاعدة البيانات للاستعلامات المريبة ومحاولات الوصول غير المصرح بها



إرشادات التصحيح:

1. طبق التصحيح المتاح فوراً على جميع الأنظمة المتأثرة

2. اختبر التصحيحات في بيئة غير إنتاجية أولاً

3. أعط الأولوية للنسخ المتاحة على الإنترنت للتصحيح الفوري

4. احتفظ بنسخ احتياطية قبل تطبيق التصحيحات



عناصر التحكم البديلة (إذا لم يكن التصحيح متاحاً فوراً):

1. طبق التحقق من صحة المدخلات والتطهير لجميع معاملات GET

2. استخدم الاستعلامات المعاملة/البيانات المحضرة بدلاً من سلسلة النصوص

3. طبق مبدأ أقل امتياز على حسابات مستخدمي قاعدة البيانات

4. عطل الرسائل التي تكشف عن هيكل قاعدة البيانات

5. طبق تحديد معدل على نقطة نهاية add-item.php



قواعد الكشف:

1. راقب كلمات SQL الرئيسية في معاملات GET: UNION و SELECT و INSERT و DROP و DELETE و OR و AND

2. أصدر تنبيهات عند فشل استعلامات قاعدة البيانات المتعددة من نفس عنوان IP المصدر

3. تتبع نشاط مستخدم قاعدة البيانات غير المعتاد ومحاولات تصعيد الامتيازات

4. سجل جميع الطلبات إلى add-item.php مع قيم المعاملات الكاملة
📋 خريطة الامتثال التنظيمي
🟢 NCA ECC 2024
A.14.2.1 - Secure development policy and procedures A.14.2.5 - Secure development environment A.14.3.1 - Testing of security functionality A.14.3.2 - System change control A.14.3.3 - Testing of security patches
🔵 SAMA CSF
ID.GV-1 - Organizational cybersecurity policy PR.DS-6 - Data is protected from unauthorized access PR.PT-1 - Security policies and procedures are maintained DE.CM-1 - The network is monitored for unauthorized connections
🟡 ISO 27001:2022
A.12.6.1 - Management of technical vulnerabilities A.14.2.1 - Secure development policy A.14.3.1 - Security testing A.12.2.1 - Restriction of access to information
🟣 PCI DSS v4.0.1
6.5.1 - Injection flaws prevention 6.2 - Security patches installation 11.2 - Vulnerability scanning
📊 CVSS Score
8.2
/ 10.0 — مرتفع
📊 CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:L/A:N
Attack VectorN — None / Network
Attack ComplexityL — Low / Local
Privileges RequiredN — None / Network
User InteractionN — None / Network
ScopeU — Unchanged
ConfidentialityH — High
IntegrityL — Low / Local
AvailabilityN — None / Network
📋 حقائق سريعة
الخطورة مرتفع
CVSS Score8.2
CWECWE-89
EPSS0.07%
اختراق متاح لا
تصحيح متاح ✓ نعم
تاريخ النشر 2026-02-22
المصدر nvd
المشاهدات 7
🇸🇦 درجة المخاطر السعودية
8.5
/ 10.0 — مخاطر السعودية
أولوية: CRITICAL
🏷️ الوسوم
CWE-89
⚡ إجراءات
🔗 NVD Official Page ⚡ Exploit-DB Search 🐙 GitHub PoC Search 🎯 MITRE ATT&CK 📊 CVE Details
مشاركة ثغرة
LinkedIn X / Twitter WhatsApp Telegram

💬 التعليقات

0
جارٍ التحميل
📣 وجدت هذا مفيداً؟
شاركه مع شبكة الأمن السيبراني الخاصة بك
in لينكدإن 𝕏 تويتر 💬 واتساب ✈ تليجرام
🍪 إعدادات الخصوصية
سيزو للاستشارات — متوافق مع نظام حماية البيانات الشخصية السعودي (PDPL)
نستخدم ملفات تعريف الارتباط والتقنيات المشابهة لتوفير أفضل تجربة على منصتنا. يمكنك اختيار الأنواع التي تقبلها.
🔒
ملفات ضرورية Always On
مطلوبة لعمل الموقع بشكل صحيح. لا يمكن تعطيلها.
📋 الجلسات، CSRF، المصادقة، تفضيلات اللغة
📊
ملفات التحليلات
تساعدنا في فهم كيفية استخدام الزوار للموقع وتحسين الأداء.
📋 إحصائيات الصفحات، مدة الجلسة، مصدر الزيارة
⚙️
ملفات وظيفية
تتيح ميزات محسنة مثل تخصيص المحتوى والتفضيلات.
📋 السمة المظلمة/الفاتحة، حجم الخط، لوحات التحكم المخصصة
📣
ملفات تسويقية
تُستخدم لتقديم محتوى وإعلانات ذات صلة باهتماماتك.
📋 تتبع الحملات، إعادة الاستهداف، تحليلات وسائل التواصل
سياسة الخصوصية →
مساعد CISO الذكي
اسألني أي شيء · وثائق · دعم
🔐

عرّفنا بنفسك

أدخل بياناتك للوصول إلى المساعد الكامل

معلوماتك آمنة ولن تُشارك
💬
المساعد السيبراني
متصل — يرد في ثوانٍ
5 / 5
🔐 تحقق من هويتك

أدخل بريدك الإلكتروني لإرسال رمز تحقق قبل إرسال طلب الدعم.

Enter للإرسال · / للأوامر 0 / 2000
CISO AI · مدعوم بالذكاء الاصطناعي
✦ استطلاع سريع ساعدنا في تحسين منصة سيزو للاستشارات ملاحظاتك تشكّل مستقبل منصتنا — لا تستغرق سوى دقيقتين.
⚠ يرجى الإجابة على هذا السؤال للمتابعة

كيف تقيّم تجربتك العامة مع منصتنا؟

قيّم من 1 (ضعيف) إلى 5 (ممتاز)

🎉
شكراً جزيلاً!
تم تسجيل إجابتك بنجاح.