📄 Description (English)
Online-Exam-System 2015 contains a time-based blind SQL injection vulnerability in the feedback form that allows attackers to extract database password hashes. Attackers can exploit the 'feed.php' endpoint by crafting malicious payload requests that use time delays to systematically enumerate user password characters.
🤖 AI Executive Summary
CVE-2020-37051 is a time-based blind SQL injection vulnerability in Online-Exam-System 2015's feedback form that enables attackers to extract database password hashes through the 'feed.php' endpoint. With a CVSS score of 8.2, this vulnerability poses a significant risk to educational institutions and organizations using this legacy system. The absence of input validation allows attackers to systematically enumerate sensitive data using time-delay techniques, potentially compromising authentication systems and user credentials.
📄 Description (Arabic)
🤖 AI Intelligence Analysis Analyzed: Apr 25, 2026 17:54
🇸🇦 Saudi Arabia Impact Assessment
This vulnerability primarily affects Saudi educational institutions, universities, and e-learning platforms utilizing Online-Exam-System 2015. Secondary impact extends to government agencies managing online examination systems and private sector organizations conducting digital assessments. The vulnerability enables unauthorized access to student and employee credential databases, potentially violating NCA data protection requirements and SAMA cybersecurity frameworks for institutions in the financial sector. Healthcare organizations using this system for certification exams face HIPAA-equivalent compliance risks under Saudi healthcare regulations.
🏢 Affected Saudi Sectors
Education
Government
Healthcare
Banking
Telecommunications
🎯 MITRE ATT&CK Techniques
⚖️ Saudi Risk Score (AI)
7.8
/ 10.0
🔧 Remediation Steps (English)
IMMEDIATE ACTIONS:
1. Identify all instances of Online-Exam-System 2015 in your environment, particularly the 'feed.php' endpoint
2. Implement Web Application Firewall (WAF) rules to block SQL injection patterns in feedback form submissions
3. Restrict database user permissions to principle of least privilege; disable direct password hash access from application layer
4. Enable database query logging and monitoring for suspicious time-delay patterns
PATCHING:
5. Apply available patches immediately to all affected systems
6. If patching is delayed, upgrade to a supported version of the examination system
7. Conduct database integrity verification post-patching
COMPENSATING CONTROLS:
8. Implement input validation and parameterized queries (prepared statements) for all form inputs
9. Deploy database activity monitoring (DAM) solutions to detect SQL injection attempts
10. Enforce strong password policies and implement password hashing with modern algorithms (bcrypt, Argon2)
11. Segment database access networks and implement network-based intrusion detection
DETECTION:
12. Monitor for HTTP requests with time-delay paylovers (SLEEP, BENCHMARK functions) in feed.php parameters
13. Alert on database connection attempts with unusual timing patterns
14. Track failed authentication attempts and credential enumeration activities
🔧 خطوات المعالجة (العربية)
الإجراءات الفورية:
1. حدد جميع نسخ نظام الامتحانات الإلكترونية 2015 في بيئتك، خاصة نقطة نهاية 'feed.php'
2. طبق قواعد جدار حماية تطبيقات الويب (WAF) لحجب أنماط حقن SQL في تقديمات نموذج التعليقات
3. قيّد أذونات مستخدم قاعدة البيانات بمبدأ أقل امتياز؛ عطّل الوصول المباشر إلى كلمات مرور التجزئة من طبقة التطبيق
4. فعّل تسجيل استعلامات قاعدة البيانات والمراقبة للأنماط المريبة ذات التأخير الزمني
التصحيح:
5. طبق التصحيحات المتاحة فوراً على جميع الأنظمة المتأثرة
6. إذا تأخر التصحيح، قم بالترقية إلى نسخة مدعومة من نظام الامتحانات
7. أجرِ التحقق من سلامة قاعدة البيانات بعد التصحيح
الضوابط البديلة:
8. طبق التحقق من صحة المدخلات والاستعلامات المحددة مسبقاً لجميع مدخلات النموذج
9. نشّر حلول مراقبة نشاط قاعدة البيانات (DAM) للكشف عن محاولات حقن SQL
10. فرض سياسات كلمات مرور قوية وتطبيق تجزئة كلمات المرور بخوارزميات حديثة
11. قسّم شبكات الوصول إلى قاعدة البيانات وطبق الكشف عن الاختراقات على مستوى الشبكة
الكشف:
12. راقب طلبات HTTP التي تحتوي على حمولات تأخير زمني في معاملات feed.php
13. أصدر تنبيهات لمحاولات الاتصال بقاعدة البيانات ذات الأنماط الزمنية غير العادية
14. تتبع محاولات المصادقة الفاشلة وأنشطة تعداد بيانات الاعتماد
📋 Regulatory Compliance Mapping
🟢 NCA ECC 2024
ECC 2024 A.14.2.1 - Information security requirements for supplier relationships
ECC 2024 A.12.6.1 - Management of technical vulnerabilities
ECC 2024 A.14.2.5 - Addressing information security in supplier agreements
🔵 SAMA CSF
SAMA CSF ID.BE-1 - Business Environment
SAMA CSF PR.AC-1 - Access Control
SAMA CSF PR.DS-2 - Data Security
SAMA CSF DE.CM-1 - Detection and Analysis
🟡 ISO 27001:2022
ISO 27001:2022 A.5.1 - Policies for information security
ISO 27001:2022 A.8.1 - User endpoint devices
ISO 27001:2022 A.8.3 - Access control
ISO 27001:2022 A.14.2 - Supplier relationships
🟣 PCI DSS v4.0.1
PCI DSS 6.5.1 - Injection flaws
PCI DSS 8.2.1 - User identification and authentication
PCI DSS 10.2 - Implement automated audit trails