📧 info@ciso.sa | 📱 +966550939344 | الرياض، المملكة العربية السعودية
عن المنصة الأسئلة الشائعة اتصل بنا شروط الخدمة سياسة الخصوصية 🌐 English
🔐

مرحباً — سجّل دخولك أو أنشئ حساباً للوصول الكامل.

🔑 دخول ✨ حساب جديد
🌐 EN تسجيل الدخول إنشاء حساب
🔧 صيانة مجدولة — السبت 2:00-4:00 صباحاً. قد تكون بعض الميزات غير متاحة مؤقتاً.    ●   
💎
خطة Pro بخصم 50% احصل على جميع ميزات AI والتقارير غير المحدودة والدعم ذي الأولوية. الترقية الآن
مركز البحث
ESC للإغلاق
تنقل فتح Ctrl+K بحث
CISO Consulting
Global insider التعليم HIGH 2h Global supply_chain تطوير البرمجيات والتكنولوجيا HIGH 7h Global apt الحكومة والبنية التحتية الحرجة CRITICAL 9h Global vulnerability برامج المؤسسات / تحليل البيانات CRITICAL 10h Global vulnerability الذكاء الاصطناعي والتكنولوجيا HIGH 13h Global general قطاع التكنولوجيا والذكاء الاصطناعي MEDIUM 16h Global general قطاع التكنولوجيا والذكاء الاصطناعي HIGH 17h Global vulnerability التعليم العالي CRITICAL 1d Global data_breach القطاع الحكومي HIGH 1d Global supply_chain تطوير البرمجيات والمجتمعات مفتوحة المصدر CRITICAL 1d Global insider التعليم HIGH 2h Global supply_chain تطوير البرمجيات والتكنولوجيا HIGH 7h Global apt الحكومة والبنية التحتية الحرجة CRITICAL 9h Global vulnerability برامج المؤسسات / تحليل البيانات CRITICAL 10h Global vulnerability الذكاء الاصطناعي والتكنولوجيا HIGH 13h Global general قطاع التكنولوجيا والذكاء الاصطناعي MEDIUM 16h Global general قطاع التكنولوجيا والذكاء الاصطناعي HIGH 17h Global vulnerability التعليم العالي CRITICAL 1d Global data_breach القطاع الحكومي HIGH 1d Global supply_chain تطوير البرمجيات والمجتمعات مفتوحة المصدر CRITICAL 1d Global insider التعليم HIGH 2h Global supply_chain تطوير البرمجيات والتكنولوجيا HIGH 7h Global apt الحكومة والبنية التحتية الحرجة CRITICAL 9h Global vulnerability برامج المؤسسات / تحليل البيانات CRITICAL 10h Global vulnerability الذكاء الاصطناعي والتكنولوجيا HIGH 13h Global general قطاع التكنولوجيا والذكاء الاصطناعي MEDIUM 16h Global general قطاع التكنولوجيا والذكاء الاصطناعي HIGH 17h Global vulnerability التعليم العالي CRITICAL 1d Global data_breach القطاع الحكومي HIGH 1d Global supply_chain تطوير البرمجيات والمجتمعات مفتوحة المصدر CRITICAL 1d
الثغرات

CVE-2019-25490

مرتفع
Homey BNB V4 contains a SQL injection vulnerability that allows unauthenticated attackers to manipulate database queries by injecting SQL code through the 'id' parameter. Attackers can send GET reques
CWE-89 — نوع الضعف
نُشر: Feb 27, 2026  ·  آخر تحديث: Feb 28, 2026  ·  المصدر: NVD
CVSS v3
8.2
🔗 NVD الرسمي
📄 الوصف (الإنجليزية)

Homey BNB V4 contains a SQL injection vulnerability that allows unauthenticated attackers to manipulate database queries by injecting SQL code through the 'id' parameter. Attackers can send GET requests to the admin/edit.php endpoint with time-based SQL injection payloads to extract sensitive database information.

🤖 ملخص AI

CVE-2019-25490 is a critical SQL injection vulnerability in Homey BNB V4 affecting the admin/edit.php endpoint. Unauthenticated attackers can exploit the 'id' parameter using time-based SQL injection to extract sensitive database information. While no public exploit is available, the vulnerability poses significant risk to organizations using this platform, particularly those handling customer and financial data.

📄 الوصف (العربية)

🤖 التحليل الذكي آخر تحليل: Apr 25, 2026 08:56
🇸🇦 التأثير على المملكة العربية السعودية
This vulnerability poses significant risk to Saudi hospitality and tourism sector organizations using Homey BNB V4 for property management and booking systems. Banking sector exposure is moderate if integrated with payment processing systems. Government entities managing tourism infrastructure could be affected. Healthcare facilities using similar booking systems for appointment management face data breach risks. Telecommunications companies offering bundled hospitality services are at risk. The unauthenticated nature of the attack makes it particularly dangerous for organizations in Saudi Arabia lacking robust perimeter security.
🏢 القطاعات السعودية المتأثرة
Hospitality and Tourism Banking and Financial Services Government and Public Administration Healthcare Telecommunications E-commerce and Retail
⚖️ درجة المخاطر السعودية (AI)
8.5
/ 10.0
🔧 Remediation Steps (English)
IMMEDIATE ACTIONS:

1. Identify all instances of Homey BNB V4 in your environment and isolate affected systems from public internet access

2. Implement Web Application Firewall (WAF) rules to block SQL injection patterns in the 'id' parameter of admin/edit.php endpoint

3. Enable database activity monitoring and query logging to detect exploitation attempts



PATCHING:

4. Apply the available patch immediately to all Homey BNB V4 installations

5. Test patches in non-production environment before deployment

6. Maintain version control and document all patching activities



COMPENSATING CONTROLS:

7. Implement input validation and parameterized queries for all database interactions

8. Restrict access to admin/edit.php to whitelisted IP addresses only

9. Enforce strong authentication mechanisms for administrative functions

10. Apply principle of least privilege to database user accounts



DETECTION:

11. Monitor for SQL injection patterns: UNION, SELECT, SLEEP(), BENCHMARK() in request parameters

12. Alert on multiple failed database queries or unusual query execution times

13. Track access to admin/edit.php from unexpected sources
🔧 خطوات المعالجة (العربية)
الإجراءات الفورية:

1. حدد جميع حالات Homey BNB V4 في بيئتك وعزل الأنظمة المتأثرة عن الإنترنت العام

2. تطبيق قواعد جدار حماية تطبيقات الويب (WAF) لحجب أنماط حقن SQL في معامل 'id'

3. تفعيل مراقبة نشاط قاعدة البيانات وتسجيل الاستعلامات



التصحيح:

4. تطبيق التصحيح المتاح فوراً على جميع تثبيتات Homey BNB V4

5. اختبار التصحيحات في بيئة غير الإنتاج قبل النشر

6. الحفاظ على التحكم في الإصدارات وتوثيق جميع أنشطة التصحيح



الضوابط البديلة:

7. تطبيق التحقق من صحة المدخلات والاستعلامات المعاملة لجميع تفاعلات قاعدة البيانات

8. تقييد الوصول إلى admin/edit.php لعناوين IP المدرجة في القائمة البيضاء فقط

9. فرض آليات المصادقة القوية للوظائف الإدارية

10. تطبيق مبدأ أقل امتياز على حسابات مستخدمي قاعدة البيانات



الكشف:

11. مراقبة أنماط حقن SQL: UNION, SELECT, SLEEP(), BENCHMARK() في معاملات الطلب

12. تنبيه على استعلامات قاعدة البيانات المتعددة الفاشلة أو أوقات تنفيذ الاستعلام غير العادية

13. تتبع الوصول إلى admin/edit.php من مصادر غير متوقعة
📋 خريطة الامتثال التنظيمي
🟢 NCA ECC 2024
A.5.1.1 - Information Security Policies and Procedures A.6.1.2 - Access Control and Authentication A.7.1.1 - Cryptography and Data Protection A.8.1.1 - Secure Development and Maintenance A.9.1.1 - Incident Management
🔵 SAMA CSF
Governance - Security Policy and Risk Management Protect - Access Control and Authentication Protect - Data Protection and Privacy Detect - Security Monitoring and Logging Respond - Incident Response and Management
🟡 ISO 27001:2022
A.5.1.1 - Policies for information security A.6.1.2 - Access control A.8.1.1 - Information security requirements analysis and specification A.8.2.1 - Secure development policy A.8.3.1 - Separation of development, test and production environments A.12.2.1 - Event logging A.12.4.1 - Recording user activities
🟣 PCI DSS v4.0.1
Requirement 1 - Install and maintain a firewall configuration Requirement 2 - Do not use vendor-supplied defaults Requirement 6 - Develop and maintain secure systems and applications Requirement 6.5.1 - Injection flaws prevention Requirement 10 - Track and monitor access to network resources
📊 CVSS Score
8.2
/ 10.0 — مرتفع
📊 CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:L/A:N
Attack VectorN — None / Network
Attack ComplexityL — Low / Local
Privileges RequiredN — None / Network
User InteractionN — None / Network
ScopeU — Unchanged
ConfidentialityH — High
IntegrityL — Low / Local
AvailabilityN — None / Network
📋 حقائق سريعة
الخطورة مرتفع
CVSS Score8.2
CWECWE-89
EPSS0.07%
اختراق متاح لا
تصحيح متاح ✓ نعم
تاريخ النشر 2026-02-27
المصدر nvd
المشاهدات 7
🇸🇦 درجة المخاطر السعودية
8.5
/ 10.0 — مخاطر السعودية
أولوية: CRITICAL
🏷️ الوسوم
CWE-89
⚡ إجراءات
🔗 NVD Official Page ⚡ Exploit-DB Search 🐙 GitHub PoC Search 🎯 MITRE ATT&CK 📊 CVE Details
مشاركة ثغرة
LinkedIn X / Twitter WhatsApp Telegram

💬 Comments

0
Loading comments
📣 وجدت هذا مفيداً؟
شاركه مع شبكة الأمن السيبراني الخاصة بك
in لينكدإن 𝕏 تويتر 💬 واتساب ✈ تليجرام
🍪 إعدادات الخصوصية
سيزو للاستشارات — متوافق مع نظام حماية البيانات الشخصية السعودي (PDPL)
نستخدم ملفات تعريف الارتباط والتقنيات المشابهة لتوفير أفضل تجربة على منصتنا. يمكنك اختيار الأنواع التي تقبلها.
🔒
ملفات ضرورية Always On
مطلوبة لعمل الموقع بشكل صحيح. لا يمكن تعطيلها.
📋 الجلسات، CSRF، المصادقة، تفضيلات اللغة
📊
ملفات التحليلات
تساعدنا في فهم كيفية استخدام الزوار للموقع وتحسين الأداء.
📋 إحصائيات الصفحات، مدة الجلسة، مصدر الزيارة
⚙️
ملفات وظيفية
تتيح ميزات محسنة مثل تخصيص المحتوى والتفضيلات.
📋 السمة المظلمة/الفاتحة، حجم الخط، لوحات التحكم المخصصة
📣
ملفات تسويقية
تُستخدم لتقديم محتوى وإعلانات ذات صلة باهتماماتك.
📋 تتبع الحملات، إعادة الاستهداف، تحليلات وسائل التواصل
سياسة الخصوصية →
مساعد CISO الذكي
اسألني أي شيء · وثائق · دعم
🔐

عرّفنا بنفسك

أدخل بياناتك للوصول إلى المساعد الكامل

معلوماتك آمنة ولن تُشارك
💬
المساعد السيبراني
متصل — يرد في ثوانٍ
5 / 5
🔐 تحقق من هويتك

أدخل بريدك الإلكتروني لإرسال رمز تحقق قبل إرسال طلب الدعم.

Enter للإرسال · / للأوامر 0 / 2000
CISO AI · مدعوم بالذكاء الاصطناعي
✦ استطلاع سريع ساعدنا في تحسين منصة سيزو للاستشارات ملاحظاتك تشكّل مستقبل منصتنا — لا تستغرق سوى دقيقتين.
⚠ يرجى الإجابة على هذا السؤال للمتابعة

كيف تقيّم تجربتك العامة مع منصتنا؟

قيّم من 1 (ضعيف) إلى 5 (ممتاز)

🎉
شكراً جزيلاً!
تم تسجيل إجابتك بنجاح.