📧 info@ciso.sa | 📱 +966550939344 | الرياض، المملكة العربية السعودية
عن المنصة الأسئلة الشائعة اتصل بنا شروط الخدمة سياسة الخصوصية 🌐 English
🔐

مرحباً — سجّل دخولك أو أنشئ حساباً للوصول الكامل.

🔑 دخول ✨ حساب جديد
🌐 EN تسجيل الدخول إنشاء حساب
🔧 صيانة مجدولة — السبت 2:00-4:00 صباحاً. قد تكون بعض الميزات غير متاحة مؤقتاً.    ●   
💎
خطة Pro بخصم 50% احصل على جميع ميزات AI والتقارير غير المحدودة والدعم ذي الأولوية. الترقية الآن
مركز البحث
ESC للإغلاق
تنقل فتح Ctrl+K بحث
CISO Consulting
Global vulnerability أمن المؤسسات، تطوير البرمجيات CRITICAL 1h Global vulnerability تطوير البرمجيات، الذكاء الاصطناعي HIGH 1h Global apt الدفاع والعسكرية CRITICAL 1h Global vulnerability الشبكات، البرمجيات، البنية التحتية HIGH 1h Global phishing تكنولوجيا المعلومات HIGH 2h Global ransomware قطاعات متعددة CRITICAL 2h Global malware قطاعات متعددة CRITICAL 2h Global general الأمن السيبراني LOW 2h Global vulnerability تكنولوجيا المعلومات CRITICAL 2h Global vulnerability التكنولوجيا والبرمجيات CRITICAL 3h Global vulnerability أمن المؤسسات، تطوير البرمجيات CRITICAL 1h Global vulnerability تطوير البرمجيات، الذكاء الاصطناعي HIGH 1h Global apt الدفاع والعسكرية CRITICAL 1h Global vulnerability الشبكات، البرمجيات، البنية التحتية HIGH 1h Global phishing تكنولوجيا المعلومات HIGH 2h Global ransomware قطاعات متعددة CRITICAL 2h Global malware قطاعات متعددة CRITICAL 2h Global general الأمن السيبراني LOW 2h Global vulnerability تكنولوجيا المعلومات CRITICAL 2h Global vulnerability التكنولوجيا والبرمجيات CRITICAL 3h Global vulnerability أمن المؤسسات، تطوير البرمجيات CRITICAL 1h Global vulnerability تطوير البرمجيات، الذكاء الاصطناعي HIGH 1h Global apt الدفاع والعسكرية CRITICAL 1h Global vulnerability الشبكات، البرمجيات، البنية التحتية HIGH 1h Global phishing تكنولوجيا المعلومات HIGH 2h Global ransomware قطاعات متعددة CRITICAL 2h Global malware قطاعات متعددة CRITICAL 2h Global general الأمن السيبراني LOW 2h Global vulnerability تكنولوجيا المعلومات CRITICAL 2h Global vulnerability التكنولوجيا والبرمجيات CRITICAL 3h
الثغرات

CVE-2019-25739

متوسط
CWE-79 — نوع الضعف
نُشر: Jun 4, 2026  ·  آخر تحديث: Jun 7, 2026  ·  المصدر: NVD
CVSS v3
6.4
🔗 NVD الرسمي
📄 الوصف (الإنجليزية)

GigToDo 1.3 contains a persistent cross-site scripting vulnerability that allows authenticated attackers to inject malicious JavaScript and HTML code through the proposal description field. Attackers can craft XSS payloads in the create_proposal endpoint that execute when administrators or other users view the stored proposal, enabling cookie theft and malicious redirects.

🤖 ملخص AI

CVE-2019-25739 is a persistent XSS vulnerability in GigToDo 1.3 affecting the proposal description field, allowing authenticated attackers to inject malicious JavaScript that executes when administrators view proposals. With a CVSS score of 6.4 and no available patch, this vulnerability poses a moderate risk to organizations using this platform for project management. The attack requires authentication but can lead to session hijacking, credential theft, and administrative account compromise.

📄 الوصف (العربية)

🤖 التحليل الذكي آخر تحليل: Jun 4, 2026 18:15
🇸🇦 التأثير على المملكة العربية السعودية
This vulnerability primarily impacts Saudi organizations using GigToDo for project management and freelance work coordination, particularly in the technology, consulting, and government contracting sectors. Government agencies (NCA oversight), private sector companies managing vendor proposals, and organizations handling sensitive project information face elevated risk. The persistent nature of the XSS allows attackers to compromise administrative accounts and access sensitive proposal data, potentially affecting procurement processes and business intelligence. Telecom and financial services sectors using this platform for vendor management are at particular risk.
🏢 القطاعات السعودية المتأثرة
Government Technology and IT Services Consulting Telecommunications Financial Services Project Management and Freelance Platforms
⚖️ درجة المخاطر السعودية (AI)
6.8
/ 10.0
🔧 Remediation Steps (English)
Immediate Actions:

1. Disable or restrict access to GigToDo 1.3 until patching is available

2. Audit all proposals created in the past 90 days for suspicious JavaScript or HTML content

3. Force password reset for all administrative accounts that accessed proposals

4. Review browser history and session logs for unauthorized access patterns



Compensating Controls:

1. Implement Web Application Firewall (WAF) rules to detect and block XSS payloads in proposal submissions

2. Apply Content Security Policy (CSP) headers to prevent inline script execution

3. Enforce strict input validation and output encoding on the proposal description field

4. Implement HTML sanitization library (e.g., DOMPurify) to strip malicious scripts before storage

5. Enable HTTP-only and Secure flags on session cookies to prevent JavaScript access

6. Monitor for suspicious JavaScript execution in proposal viewing functionality



Detection Rules:

1. Alert on proposal descriptions containing script tags, event handlers (onclick, onload), or JavaScript protocol handlers

2. Monitor for unusual administrative account activity following proposal access

3. Track failed authentication attempts and session anomalies

4. Log all proposal creation and modification events with full payload inspection
🔧 خطوات المعالجة (العربية)
الإجراءات الفورية:

1. تعطيل أو تقييد الوصول إلى GigToDo 1.3 حتى يتوفر التصحيح

2. تدقيق جميع الاقتراحات المنشأة في آخر 90 يوماً بحثاً عن محتوى JavaScript أو HTML مريب

3. فرض إعادة تعيين كلمة المرور لجميع حسابات المسؤولين التي وصلت إلى الاقتراحات

4. مراجعة سجل المتصفح وسجلات الجلسة للتعرف على أنماط الوصول غير المصرح



الضوابط التعويضية:

1. تنفيذ قواعد جدار حماية تطبيقات الويب (WAF) للكشف عن حمولات XSS وحجبها في تقديم الاقتراحات

2. تطبيق رؤوس سياسة أمان المحتوى (CSP) لمنع تنفيذ البرامج النصية المضمنة

3. فرض التحقق الصارم من المدخلات وترميز المخرجات في حقل وصف الاقتراح

4. تنفيذ مكتبة تنظيف HTML (مثل DOMPurify) لإزالة البرامج النصية الضارة قبل التخزين

5. تفعيل أعلام HTTP-only و Secure على ملفات تعريف الارتباط للجلسة لمنع وصول JavaScript

6. مراقبة تنفيذ JavaScript المريب في وظيفة عرض الاقتراح



قواعد الكشف:

1. تنبيه على وصفات الاقتراح التي تحتوي على علامات البرامج النصية ومعالجات الأحداث (onclick, onload) أو معالجات بروتوكول JavaScript

2. مراقبة نشاط حساب المسؤول غير العادي بعد الوصول إلى الاقتراح

3. تتبع محاولات المصادقة الفاشلة وشذوذ الجلسة

4. تسجيل جميع أحداث إنشاء وتعديل الاقتراح مع فحص الحمولة الكامل
📋 خريطة الامتثال التنظيمي
🟢 NCA ECC 2024
A.14.2.1 - Secure development policy A.14.2.5 - Secure development environment A.12.6.1 - Management of technical vulnerabilities A.12.2.1 - Input validation
🔵 SAMA CSF
ID.GV-1 - Organizational cybersecurity policy PR.DS-1 - Data security management PR.IP-1 - Security awareness and training DE.CM-1 - Detection and analysis
🟡 ISO 27001:2022
A.14.2.1 - Secure development policy A.14.2.5 - Secure development environment A.12.6.1 - Management of technical vulnerabilities A.13.1.3 - Segregation of networks
📊 CVSS Score
6.4
/ 10.0 — متوسط
📊 CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:L/I:L/A:N
Attack VectorN — None / Network
Attack ComplexityL — Low / Local
Privileges RequiredL — Low / Local
User InteractionN — None / Network
ScopeC — Changed
ConfidentialityL — Low / Local
IntegrityL — Low / Local
AvailabilityN — None / Network
📋 حقائق سريعة
الخطورة متوسط
CVSS Score6.4
CWECWE-79
EPSS0.03%
اختراق متاح لا
تصحيح متاح ✗ لا
تاريخ النشر 2026-06-04
المصدر nvd
المشاهدات 2
🇸🇦 درجة المخاطر السعودية
6.8
/ 10.0 — مخاطر السعودية
أولوية: HIGH
🏷️ الوسوم
CWE-79
⚡ إجراءات
🔗 NVD Official Page ⚡ Exploit-DB Search 🐙 GitHub PoC Search 🎯 MITRE ATT&CK 📊 CVE Details
مشاركة ثغرة
LinkedIn X / Twitter WhatsApp Telegram
📣 وجدت هذا مفيداً؟
شاركه مع شبكة الأمن السيبراني الخاصة بك
in لينكدإن 𝕏 تويتر 💬 واتساب ✈ تليجرام
🍪 إعدادات الخصوصية
سيزو للاستشارات — متوافق مع نظام حماية البيانات الشخصية السعودي (PDPL)
نستخدم ملفات تعريف الارتباط والتقنيات المشابهة لتوفير أفضل تجربة على منصتنا. يمكنك اختيار الأنواع التي تقبلها.
🔒
ملفات ضرورية Always On
مطلوبة لعمل الموقع بشكل صحيح. لا يمكن تعطيلها.
📋 الجلسات، CSRF، المصادقة، تفضيلات اللغة
📊
ملفات التحليلات
تساعدنا في فهم كيفية استخدام الزوار للموقع وتحسين الأداء.
📋 إحصائيات الصفحات، مدة الجلسة، مصدر الزيارة
⚙️
ملفات وظيفية
تتيح ميزات محسنة مثل تخصيص المحتوى والتفضيلات.
📋 السمة المظلمة/الفاتحة، حجم الخط، لوحات التحكم المخصصة
📣
ملفات تسويقية
تُستخدم لتقديم محتوى وإعلانات ذات صلة باهتماماتك.
📋 تتبع الحملات، إعادة الاستهداف، تحليلات وسائل التواصل
سياسة الخصوصية →
مساعد CISO الذكي
اسألني أي شيء · وثائق · دعم
🔐

عرّفنا بنفسك

أدخل بياناتك للوصول إلى المساعد الكامل

معلوماتك آمنة ولن تُشارك
💬
المساعد السيبراني
متصل — يرد في ثوانٍ
5 / 5
🔐 تحقق من هويتك

أدخل بريدك الإلكتروني لإرسال رمز تحقق قبل إرسال طلب الدعم.

Enter للإرسال · / للأوامر 0 / 2000
CISO AI · مدعوم بالذكاء الاصطناعي
✦ استطلاع سريع ساعدنا في تحسين منصة سيزو للاستشارات ملاحظاتك تشكّل مستقبل منصتنا — لا تستغرق سوى دقيقتين.
⚠ يرجى الإجابة على هذا السؤال للمتابعة

كيف تقيّم تجربتك العامة مع منصتنا؟

قيّم من 1 (ضعيف) إلى 5 (ممتاز)

🎉
شكراً جزيلاً!
تم تسجيل إجابتك بنجاح.