الثغرات ›

CVE-2020-37236

متوسط

CWE-79 — نوع الضعف

                    نُشر: May 16, 2026                      ·  آخر تحديث: May 19, 2026                      ·  المصدر: NVD                

CVSS v3

6.4

🔗 NVD الرسمي

📄 الوصف (الإنجليزية)

NewsLister contains an authenticated persistent cross-site scripting vulnerability that allows authenticated administrators to inject malicious scripts through the title parameter in the news addition interface. Attackers can inject JavaScript payloads via the title field in the admin panel that execute when news items are viewed by other users.

🤖 ملخص AI

CVE-2020-37236 is an authenticated persistent XSS vulnerability in NewsLister affecting the news addition interface. Attackers with admin credentials can inject malicious JavaScript through the title parameter, which executes when other users view news items. While requiring authentication, this vulnerability poses significant risk in organizations where admin accounts may be compromised or where insider threats exist.

📄 الوصف (العربية)

🤖 التحليل الذكي آخر تحليل: May 16, 2026 22:16

🇸🇦 التأثير على المملكة العربية السعودية

Saudi government agencies, educational institutions, and media organizations using NewsLister are at risk. Government portals (NCA, CITC) and university news systems could be compromised to spread misinformation or conduct credential harvesting. The vulnerability is particularly concerning for organizations with weak admin account management practices. Saudi financial institutions using NewsLister for internal communications face risks of session hijacking and credential theft through malicious scripts.

🏢 القطاعات السعودية المتأثرة

Government Education Media and Publishing Healthcare Financial Services Telecommunications

🎯 تقنيات MITRE ATT&CK

T1190 - Exploit Public-Facing Application T1598 - Phishing T1566 - Phishing T1539 - Steal Web Session Cookie T1056 - Input Capture T1059 - Command and Scripting Interpreter

⚖️ درجة المخاطر السعودية (AI)

5.8

/ 10.0

🔧 Remediation Steps (English)

Immediate Actions:

1. Audit all admin accounts and review access logs for suspicious activity

2. Implement strict input validation and output encoding on the title parameter

3. Apply Content Security Policy (CSP) headers to prevent inline script execution

4. Disable or restrict admin panel access to trusted IP ranges only

5. Implement Web Application Firewall (WAF) rules to block XSS payloads in title fields



Patching Guidance:

- Contact NewsLister vendor for security patches or updates

- If no patch available, consider migrating to alternative news management systems

- Implement HTML entity encoding for all user-supplied input before storage and display



Compensating Controls:

- Deploy WAF with XSS detection signatures

- Enforce multi-factor authentication for all admin accounts

- Implement regular security awareness training for administrators

- Monitor and log all admin panel activities

- Use HTTPOnly and Secure flags on session cookies



Detection Rules:

- Monitor for JavaScript keywords (script, onerror, onload, eval) in title parameter submissions

- Alert on unusual admin panel access patterns or bulk news item modifications

- Track changes to news items and review title field modifications

🔧 خطوات المعالجة (العربية)

الإجراءات الفورية:

1. تدقيق جميع حسابات المسؤول ومراجعة سجلات الوصول للنشاط المريب

2. تطبيق التحقق الصارم من المدخلات وترميز المخرجات على معامل العنوان

3. تطبيق رؤوس سياسة أمان المحتوى (CSP) لمنع تنفيذ البرامج النصية المضمنة

4. تعطيل أو تقييد وصول لوحة المسؤول على نطاقات IP موثوقة فقط

5. تطبيق قواعد جدار الحماية لتطبيقات الويب (WAF) لحظر حمولات XSS في حقول العنوان



إرشادات التصحيح:

- الاتصال بمورد NewsLister للحصول على تصحيحات أمان أو تحديثات

- إذا لم يكن هناك تصحيح متاح، فكر في الهجرة إلى أنظمة إدارة أخبار بديلة

- تطبيق ترميز كيانات HTML لجميع المدخلات المزودة من قبل المستخدم قبل التخزين والعرض



الضوابط التعويضية:

- نشر WAF مع توقيعات كشف XSS

- فرض المصادقة متعددة العوامل لجميع حسابات المسؤول

- تطبيق تدريب منتظم على الوعي الأمني للمسؤولين

- مراقبة وتسجيل جميع أنشطة لوحة المسؤول

- استخدام أعلام HTTPOnly و Secure على ملفات تعريف الارتباط للجلسة



قواعد الكشف:

- مراقبة كلمات JavaScript الرئيسية (script, onerror, onload, eval) في تقديمات معامل العنوان

- تنبيه على أنماط وصول لوحة المسؤول غير المعتادة أو تعديلات عناصر الأخبار الضخمة

- تتبع التغييرات على عناصر الأخبار ومراجعة تعديلات حقل العنوان

📋 خريطة الامتثال التنظيمي

🟢 NCA ECC 2024

A.14.2.1 - Secure development policy A.14.2.5 - Secure development environment A.14.3.1 - Testing of security functionality A.14.3.2 - System change control

🔵 SAMA CSF

ID.GV-1 - Organizational cybersecurity policy PR.DS-1 - Data security management PR.AC-1 - Access control policy DE.CM-1 - Detection processes

🟡 ISO 27001:2022

A.6.2.1 - Mobile device policy A.12.2.1 - Input validation A.12.6.1 - Management of technical vulnerabilities A.14.2.1 - Secure development policy

🟣 PCI DSS v4.0.1

6.5.1 - Injection flaws 6.5.7 - Cross-site scripting (XSS) 6.2 - Security patches and updates

🔗 المراجع والمصادر 3

🔗

https://www.exploit-db.com/exploits/49160

disclosure@vulncheck.com

🔗

https://www.netartmedia.net/newslister.html

disclosure@vulncheck.com

🔗

https://www.vulncheck.com/advisories/newslister-authenticated-persistent-cross-site-scr...

disclosure@vulncheck.com

📊 CVSS Score

6.4

/ 10.0 — متوسط

📊 CVSS Vector

CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:L/I:L/A:N

Attack VectorN — None / Network

Attack ComplexityL — Low / Local

Privileges RequiredL — Low / Local

User InteractionN — None / Network

ScopeC — Changed

ConfidentialityL — Low / Local

IntegrityL — Low / Local

AvailabilityN — None / Network

📋 حقائق سريعة

الخطورة متوسط

CVSS Score6.4

CWECWE-79

EPSS0.03%

اختراق متاح لا

تصحيح متاح ✗ لا

تاريخ النشر 2026-05-16

المصدر nvd

المشاهدات 2

🇸🇦 درجة المخاطر السعودية

5.8

/ 10.0 — مخاطر السعودية

أولوية: HIGH

🏷️ الوسوم

CWE-79

⚡ إجراءات

🔗 NVD Official Page ⚡ Exploit-DB Search 🐙 GitHub PoC Search 🎯 MITRE ATT&CK 📊 CVE Details

CVE-2020-37236

عرّفنا بنفسك

تسجيل الدخول مطلوب