📧 info@ciso.sa | 📱 +966550939344 | الرياض، المملكة العربية السعودية
عن المنصة الأسئلة الشائعة اتصل بنا شروط الخدمة سياسة الخصوصية 🌐 English
🔐

مرحباً — سجّل دخولك أو أنشئ حساباً للوصول الكامل.

🔑 دخول ✨ حساب جديد
🌐 EN تسجيل الدخول إنشاء حساب
🔧 صيانة مجدولة — السبت 2:00-4:00 صباحاً. قد تكون بعض الميزات غير متاحة مؤقتاً.    ●   
💎
خطة Pro بخصم 50% احصل على جميع ميزات AI والتقارير غير المحدودة والدعم ذي الأولوية. الترقية الآن
مركز البحث
ESC للإغلاق
تنقل فتح Ctrl+K بحث
CISO Consulting
Global insider التعليم HIGH 5h Global supply_chain تطوير البرمجيات والتكنولوجيا HIGH 10h Global apt الحكومة والبنية التحتية الحرجة CRITICAL 12h Global vulnerability برامج المؤسسات / تحليل البيانات CRITICAL 12h Global vulnerability الذكاء الاصطناعي والتكنولوجيا HIGH 16h Global general قطاع التكنولوجيا والذكاء الاصطناعي MEDIUM 19h Global general قطاع التكنولوجيا والذكاء الاصطناعي HIGH 20h Global vulnerability التعليم العالي CRITICAL 1d Global data_breach القطاع الحكومي HIGH 1d Global supply_chain تطوير البرمجيات والمجتمعات مفتوحة المصدر CRITICAL 1d Global insider التعليم HIGH 5h Global supply_chain تطوير البرمجيات والتكنولوجيا HIGH 10h Global apt الحكومة والبنية التحتية الحرجة CRITICAL 12h Global vulnerability برامج المؤسسات / تحليل البيانات CRITICAL 12h Global vulnerability الذكاء الاصطناعي والتكنولوجيا HIGH 16h Global general قطاع التكنولوجيا والذكاء الاصطناعي MEDIUM 19h Global general قطاع التكنولوجيا والذكاء الاصطناعي HIGH 20h Global vulnerability التعليم العالي CRITICAL 1d Global data_breach القطاع الحكومي HIGH 1d Global supply_chain تطوير البرمجيات والمجتمعات مفتوحة المصدر CRITICAL 1d Global insider التعليم HIGH 5h Global supply_chain تطوير البرمجيات والتكنولوجيا HIGH 10h Global apt الحكومة والبنية التحتية الحرجة CRITICAL 12h Global vulnerability برامج المؤسسات / تحليل البيانات CRITICAL 12h Global vulnerability الذكاء الاصطناعي والتكنولوجيا HIGH 16h Global general قطاع التكنولوجيا والذكاء الاصطناعي MEDIUM 19h Global general قطاع التكنولوجيا والذكاء الاصطناعي HIGH 20h Global vulnerability التعليم العالي CRITICAL 1d Global data_breach القطاع الحكومي HIGH 1d Global supply_chain تطوير البرمجيات والمجتمعات مفتوحة المصدر CRITICAL 1d
الثغرات

CVE-2021-47801

مرتفع
Vianeos OctoPUS 5 contains a time-based blind SQL injection vulnerability in the 'login_user' parameter during authentication requests. Attackers can exploit this vulnerability by crafting malicious P
CWE-89 — نوع الضعف
نُشر: Jan 16, 2026  ·  آخر تحديث: Feb 28, 2026  ·  المصدر: NVD
CVSS v3
8.2
🔗 NVD الرسمي
📄 الوصف (الإنجليزية)

Vianeos OctoPUS 5 contains a time-based blind SQL injection vulnerability in the 'login_user' parameter during authentication requests. Attackers can exploit this vulnerability by crafting malicious POST requests with specially constructed SQL payloads that trigger database sleep functions to extract information.

🤖 ملخص AI

CVE-2021-47801 is a time-based blind SQL injection vulnerability in Vianeos OctoPUS 5 affecting the login authentication mechanism. Attackers can exploit this vulnerability through crafted POST requests to extract sensitive database information without direct visibility. With a CVSS score of 8.2 and no current public exploits, this represents a significant risk to organizations using this platform for critical operations.

📄 الوصف (العربية)

🤖 التحليل الذكي آخر تحليل: Apr 25, 2026 20:16
🇸🇦 التأثير على المملكة العربية السعودية
This vulnerability poses significant risk to Saudi organizations using Vianeos OctoPUS 5 for identity and access management. Primary impact sectors include: Banking and Financial Services (SAMA-regulated institutions relying on OctoPUS for customer authentication), Government agencies (NCA oversight entities), Healthcare providers (SEHA and private hospitals using the platform), and Telecommunications operators (STC, Mobily). The SQL injection vulnerability could lead to unauthorized access to customer databases, credential theft, and potential regulatory violations under SAMA and NCA frameworks.
🏢 القطاعات السعودية المتأثرة
Banking and Financial Services Government and Public Administration Healthcare Energy and Utilities Telecommunications Education
⚖️ درجة المخاطر السعودية (AI)
8.1
/ 10.0
🔧 Remediation Steps (English)
Immediate Actions:

1. Identify all instances of Vianeos OctoPUS 5 in your environment and document their criticality level

2. Implement network-level access controls to restrict POST requests to the login endpoint from untrusted sources

3. Enable comprehensive logging and monitoring of authentication requests for suspicious SQL patterns



Patching Guidance:

1. Contact Vianeos immediately for available patches and apply them to all affected instances

2. Test patches in a non-production environment before deployment

3. Prioritize patching for internet-facing authentication systems



Compensating Controls (if patch unavailable):

1. Implement Web Application Firewall (WAF) rules to detect and block SQL injection patterns in login_user parameter

2. Apply input validation and parameterized queries at the application layer

3. Use database activity monitoring (DAM) to detect anomalous SQL execution patterns

4. Implement rate limiting on authentication endpoints to prevent automated exploitation



Detection Rules:

1. Monitor for POST requests containing SQL keywords (UNION, SELECT, SLEEP, BENCHMARK) in login_user parameter

2. Alert on authentication requests with unusual response times (>5 seconds)

3. Track failed authentication attempts followed by successful ones from same source IP

4. Monitor database logs for sleep() or benchmark() function calls during authentication processes
🔧 خطوات المعالجة (العربية)
الإجراءات الفورية:

1. حدد جميع نسخ Vianeos OctoPUS 5 في بيئتك وتوثيق مستوى أهميتها

2. تطبيق عناصر التحكم في الوصول على مستوى الشبكة لتقييد طلبات POST إلى نقطة تسجيل الدخول من مصادر غير موثوقة

3. تفعيل السجلات الشاملة ومراقبة طلبات المصادقة للأنماط المريبة



إرشادات التصحيح:

1. اتصل بـ Vianeos فوراً للحصول على التصحيحات المتاحة وتطبيقها على جميع الحالات المتأثرة

2. اختبر التصحيحات في بيئة غير الإنتاج قبل النشر

3. أولويات التصحيح لأنظمة المصادقة المتصلة بالإنترنت



عناصر التحكم البديلة:

1. تطبيق قواعد جدار حماية تطبيقات الويب (WAF) للكشف عن أنماط حقن SQL وحجبها

2. تطبيق التحقق من صحة الإدخال والاستعلامات المحددة مسبقاً على مستوى التطبيق

3. استخدام مراقبة نشاط قاعدة البيانات (DAM) للكشف عن أنماط تنفيذ SQL الشاذة

4. تطبيق تحديد معدل على نقاط نهاية المصادقة لمنع الاستغلال الآلي



قواعد الكشف:

1. مراقبة طلبات POST التي تحتوي على كلمات مفتاحية SQL (UNION, SELECT, SLEEP, BENCHMARK) في معامل login_user

2. تنبيهات على طلبات المصادقة ذات أوقات الاستجابة غير العادية (>5 ثوان)

3. تتبع محاولات المصادقة الفاشلة متبوعة بنجاح من نفس عنوان IP

4. مراقبة سجلات قاعدة البيانات لاستدعاءات دوال sleep() أو benchmark() أثناء عمليات المصادقة
📋 خريطة الامتثال التنظيمي
🟢 NCA ECC 2024
ECC 2024 A.9.2.1 - User registration and access rights management ECC 2024 A.9.4.3 - Password management systems ECC 2024 A.12.4.1 - Event logging and monitoring ECC 2024 A.14.2.1 - Secure development policy
🔵 SAMA CSF
SAMA CSF ID.AM-2 - Software, hardware and services inventory SAMA CSF PR.AC-1 - Identities and credentials are issued, managed, verified, revoked and audited SAMA CSF DE.CM-1 - The network is monitored to detect potential cybersecurity events SAMA CSF RS.MI-2 - Incidents are mitigated
🟡 ISO 27001:2022
ISO 27001:2022 A.5.15 - Access control ISO 27001:2022 A.8.22 - Information security for application development ISO 27001:2022 A.8.23 - Information security testing ISO 27001:2022 A.8.32 - Change management
🟣 PCI DSS v4.0.1
PCI DSS 6.5.1 - Injection flaws prevention PCI DSS 8.2.3 - Strong authentication mechanisms PCI DSS 10.2.4 - Logging of access to audit trails
📊 CVSS Score
8.2
/ 10.0 — مرتفع
📊 CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:L/A:N
Attack VectorN — None / Network
Attack ComplexityL — Low / Local
Privileges RequiredN — None / Network
User InteractionN — None / Network
ScopeU — Unchanged
ConfidentialityH — High
IntegrityL — Low / Local
AvailabilityN — None / Network
📋 حقائق سريعة
الخطورة مرتفع
CVSS Score8.2
CWECWE-89
EPSS0.04%
اختراق متاح لا
تصحيح متاح ✓ نعم
تاريخ النشر 2026-01-16
المصدر nvd
المشاهدات 7
🇸🇦 درجة المخاطر السعودية
8.1
/ 10.0 — مخاطر السعودية
أولوية: HIGH
🏷️ الوسوم
CWE-89
⚡ إجراءات
🔗 NVD Official Page ⚡ Exploit-DB Search 🐙 GitHub PoC Search 🎯 MITRE ATT&CK 📊 CVE Details
مشاركة ثغرة
LinkedIn X / Twitter WhatsApp Telegram

💬 التعليقات

0
جارٍ التحميل
📣 وجدت هذا مفيداً؟
شاركه مع شبكة الأمن السيبراني الخاصة بك
in لينكدإن 𝕏 تويتر 💬 واتساب ✈ تليجرام
🍪 إعدادات الخصوصية
سيزو للاستشارات — متوافق مع نظام حماية البيانات الشخصية السعودي (PDPL)
نستخدم ملفات تعريف الارتباط والتقنيات المشابهة لتوفير أفضل تجربة على منصتنا. يمكنك اختيار الأنواع التي تقبلها.
🔒
ملفات ضرورية Always On
مطلوبة لعمل الموقع بشكل صحيح. لا يمكن تعطيلها.
📋 الجلسات، CSRF، المصادقة، تفضيلات اللغة
📊
ملفات التحليلات
تساعدنا في فهم كيفية استخدام الزوار للموقع وتحسين الأداء.
📋 إحصائيات الصفحات، مدة الجلسة، مصدر الزيارة
⚙️
ملفات وظيفية
تتيح ميزات محسنة مثل تخصيص المحتوى والتفضيلات.
📋 السمة المظلمة/الفاتحة، حجم الخط، لوحات التحكم المخصصة
📣
ملفات تسويقية
تُستخدم لتقديم محتوى وإعلانات ذات صلة باهتماماتك.
📋 تتبع الحملات، إعادة الاستهداف، تحليلات وسائل التواصل
سياسة الخصوصية →
مساعد CISO الذكي
اسألني أي شيء · وثائق · دعم
🔐

عرّفنا بنفسك

أدخل بياناتك للوصول إلى المساعد الكامل

معلوماتك آمنة ولن تُشارك
💬
المساعد السيبراني
متصل — يرد في ثوانٍ
5 / 5
🔐 تحقق من هويتك

أدخل بريدك الإلكتروني لإرسال رمز تحقق قبل إرسال طلب الدعم.

Enter للإرسال · / للأوامر 0 / 2000
CISO AI · مدعوم بالذكاء الاصطناعي
✦ استطلاع سريع ساعدنا في تحسين منصة سيزو للاستشارات ملاحظاتك تشكّل مستقبل منصتنا — لا تستغرق سوى دقيقتين.
⚠ يرجى الإجابة على هذا السؤال للمتابعة

كيف تقيّم تجربتك العامة مع منصتنا؟

قيّم من 1 (ضعيف) إلى 5 (ممتاز)

🎉
شكراً جزيلاً!
تم تسجيل إجابتك بنجاح.