الثغرات ›

CVE-2020-37188

مرتفع

SpotOutlook 1.2.6 contains a denial of service vulnerability in the registration name input field that allows attackers to crash the application. Attackers can overwrite the buffer by pasting 1000 'A'

CWE-120 — نوع الضعف

                    نُشر: Feb 11, 2026                      ·  آخر تحديث: Feb 28, 2026                      ·  المصدر: NVD                

CVSS v3

7.5

🔗 NVD الرسمي

📄 الوصف (الإنجليزية)

🤖 ملخص AI

CVE-2020-37188 is a buffer overflow vulnerability in SpotOutlook 1.2.6 affecting the registration name input field, allowing attackers to crash the application by inputting excessive characters. With a CVSS score of 7.5 and no exploit currently available, this poses a moderate-to-high risk for denial of service attacks. A patch is available and should be applied immediately to prevent service disruption.

📄 الوصف (العربية)

🤖 التحليل الذكي آخر تحليل: Apr 30, 2026 14:48

🇸🇦 التأثير على المملكة العربية السعودية

This vulnerability primarily impacts Saudi organizations using SpotOutlook for email management and collaboration, particularly in banking sector (SAMA-regulated institutions), government agencies (NCA oversight), and large enterprises relying on email infrastructure. The denial of service impact could disrupt critical business communications and compliance-related email archiving requirements mandated by Saudi regulatory bodies. Telecom operators (STC, Mobily) and financial institutions are at elevated risk due to their dependency on continuous email availability.

🏢 القطاعات السعودية المتأثرة

Banking and Financial Services Government and Public Administration Telecommunications Healthcare Energy and Utilities Large Enterprises

🎯 تقنيات MITRE ATT&CK

T1499 - Endpoint Denial of Service T1499.004 - Application Exhaustion Flood T1203 - Exploitation for Client Execution

⚖️ درجة المخاطر السعودية (AI)

6.8

/ 10.0

🔧 Remediation Steps (English)

1. IMMEDIATE ACTIONS:

   - Identify all instances of SpotOutlook 1.2.6 in your environment

   - Restrict access to the registration/name input field through network controls if possible

   - Implement input validation rules limiting name field to maximum 255 characters

   - Monitor application logs for suspicious registration attempts with excessive character input



2. PATCHING GUIDANCE:

   - Apply the available patch to SpotOutlook immediately

   - Test patch in non-production environment first

   - Schedule maintenance window for production deployment

   - Verify patch effectiveness by testing with 1000+ character input



3. COMPENSATING CONTROLS:

   - Implement Web Application Firewall (WAF) rules to block requests with >500 characters in name field

   - Deploy rate limiting on registration endpoints

   - Enable application crash monitoring and auto-restart mechanisms

   - Implement input sanitization at application layer



4. DETECTION RULES:

   - Alert on registration attempts with name field containing >500 characters

   - Monitor for repeated application crashes correlated with registration activity

   - Log all registration attempts with character count exceeding 255

🔧 خطوات المعالجة (العربية)

1. الإجراءات الفورية:

   - تحديد جميع نسخ SpotOutlook 1.2.6 في بيئتك

   - تقييد الوصول إلى حقل الإدخال للاسم من خلال عناصر التحكم في الشبكة إن أمكن

   - تطبيق قواعد التحقق من الإدخال لتحديد حقل الاسم بحد أقصى 255 حرفاً

   - مراقبة سجلات التطبيق للمحاولات المريبة للتسجيل برسائل زائدة



2. إرشادات التصحيح:

   - تطبيق التصحيح المتاح على SpotOutlook فوراً

   - اختبار التصحيح في بيئة غير الإنتاج أولاً

   - جدولة نافذة صيانة لنشر الإنتاج

   - التحقق من فعالية التصحيح باختبار إدخال 1000+ حرف



3. الضوابط البديلة:

   - تطبيق قواعد جدار حماية تطبيقات الويب لحجب الطلبات بأكثر من 500 حرف في حقل الاسم

   - نشر تحديد معدل على نقاط نهاية التسجيل

   - تفعيل مراقبة انهيار التطبيق وآليات إعادة التشغيل التلقائي

   - تطبيق تنظيف الإدخال على مستوى التطبيق



4. قواعد الكشف:

   - تنبيه محاولات التسجيل برسائل اسم تحتوي على أكثر من 500 حرف

   - مراقبة انهيارات التطبيق المتكررة المرتبطة بنشاط التسجيل

   - تسجيل جميع محاولات التسجيل مع عدد الأحرف الذي يتجاوز 255

📋 خريطة الامتثال التنظيمي

🟢 NCA ECC 2024

ECC 2024 A.14.2.1 - Change management procedures ECC 2024 A.12.6.1 - Management of technical vulnerabilities ECC 2024 A.12.2.1 - User endpoint devices protection

🔵 SAMA CSF

SAMA CSF ID.BE-5 - Organizational resilience SAMA CSF PR.DS-6 - Data is protected from unauthorized access SAMA CSF DE.CM-1 - The network is monitored to detect potential cybersecurity events

🟡 ISO 27001:2022

ISO 27001:2022 A.12.2.1 - Endpoint protection ISO 27001:2022 A.14.2.1 - Change management ISO 27001:2022 A.12.6.1 - Management of technical vulnerabilities

🔗 المراجع والمصادر 3

🔗

http://www.nsauditor.com/

disclosure@vulncheck.com

🔗

https://www.exploit-db.com/exploits/47906

disclosure@vulncheck.com

🔗

https://www.vulncheck.com/advisories/spotoutlook-name-denial-of-service

disclosure@vulncheck.com

📊 CVSS Score

7.5

/ 10.0 — مرتفع

📊 CVSS Vector

CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H

Attack VectorN — None / Network

Attack ComplexityL — Low / Local

Privileges RequiredN — None / Network

User InteractionN — None / Network

ScopeU — Unchanged

ConfidentialityN — None / Network

IntegrityN — None / Network

AvailabilityH — High

📋 حقائق سريعة

الخطورة مرتفع

CVSS Score7.5

CWECWE-120

EPSS0.04%

اختراق متاح لا

تصحيح متاح ✓ نعم

تاريخ النشر 2026-02-11

المصدر nvd

المشاهدات 7

🇸🇦 درجة المخاطر السعودية

6.8

/ 10.0 — مخاطر السعودية

أولوية: HIGH

🏷️ الوسوم

CWE-120

⚡ إجراءات

🔗 NVD Official Page ⚡ Exploit-DB Search 🐙 GitHub PoC Search 🎯 MITRE ATT&CK 📊 CVE Details

💬 التعليقات

جارٍ التحميل

CVE-2020-37188

💬 التعليقات

عرّفنا بنفسك

تسجيل الدخول مطلوب