📧 info@ciso.sa | 📱 +966550939344 | الرياض، المملكة العربية السعودية
عن المنصة الأسئلة الشائعة اتصل بنا شروط الخدمة سياسة الخصوصية 🌐 English
🔐

مرحباً — سجّل دخولك أو أنشئ حساباً للوصول الكامل.

🔑 دخول ✨ حساب جديد
🌐 EN تسجيل الدخول إنشاء حساب
🔧 صيانة مجدولة — السبت 2:00-4:00 صباحاً. قد تكون بعض الميزات غير متاحة مؤقتاً.    ●   
💎
خطة Pro بخصم 50% احصل على جميع ميزات AI والتقارير غير المحدودة والدعم ذي الأولوية. الترقية الآن
مركز البحث
ESC للإغلاق
تنقل فتح Ctrl+K بحث
CISO Consulting
Global phishing عبر القطاعات HIGH 4h Global data_breach الطاقة CRITICAL 6h Global phishing الحكومة/متعدد القطاعات HIGH 6h Global apt التعليم CRITICAL 8h Global vulnerability برامج المؤسسات / أنظمة تخطيط موارد المؤسسات CRITICAL 9h Global vulnerability البنية التحتية لتكنولوجيا المعلومات CRITICAL 10h Global vulnerability قطاع التكنولوجيا وتطوير البرمجيات HIGH 11h Global vulnerability قطاع تكنولوجيا المعلومات والحكومة CRITICAL 11h Global ransomware قطاعات متعددة / المؤسسات CRITICAL 12h Global general التكنولوجيا والقطاع القانوني MEDIUM 13h Global phishing عبر القطاعات HIGH 4h Global data_breach الطاقة CRITICAL 6h Global phishing الحكومة/متعدد القطاعات HIGH 6h Global apt التعليم CRITICAL 8h Global vulnerability برامج المؤسسات / أنظمة تخطيط موارد المؤسسات CRITICAL 9h Global vulnerability البنية التحتية لتكنولوجيا المعلومات CRITICAL 10h Global vulnerability قطاع التكنولوجيا وتطوير البرمجيات HIGH 11h Global vulnerability قطاع تكنولوجيا المعلومات والحكومة CRITICAL 11h Global ransomware قطاعات متعددة / المؤسسات CRITICAL 12h Global general التكنولوجيا والقطاع القانوني MEDIUM 13h Global phishing عبر القطاعات HIGH 4h Global data_breach الطاقة CRITICAL 6h Global phishing الحكومة/متعدد القطاعات HIGH 6h Global apt التعليم CRITICAL 8h Global vulnerability برامج المؤسسات / أنظمة تخطيط موارد المؤسسات CRITICAL 9h Global vulnerability البنية التحتية لتكنولوجيا المعلومات CRITICAL 10h Global vulnerability قطاع التكنولوجيا وتطوير البرمجيات HIGH 11h Global vulnerability قطاع تكنولوجيا المعلومات والحكومة CRITICAL 11h Global ransomware قطاعات متعددة / المؤسسات CRITICAL 12h Global general التكنولوجيا والقطاع القانوني MEDIUM 13h
الثغرات

CVE-2021-47968

متوسط
CWE-79 — نوع الضعف
نُشر: May 15, 2026  ·  آخر تحديث: May 18, 2026  ·  المصدر: NVD
CVSS v3
6.4
🔗 NVD الرسمي
📄 الوصف (الإنجليزية)

Podcast Generator 3.1 contains a persistent cross-site scripting vulnerability that allows authenticated attackers to inject malicious scripts by submitting unfiltered JavaScript code in the long_description parameter. Attackers can inject script tags through episode creation or editing requests to execute arbitrary JavaScript when other users view the episode details.

🤖 ملخص AI

CVE-2021-47968 is a persistent XSS vulnerability in Podcast Generator 3.1 affecting the long_description parameter, allowing authenticated attackers to inject malicious scripts that execute when other users view episode details. While requiring authentication, the vulnerability poses a moderate risk to organizations using this software for internal or public podcast distribution. No patch is currently available, requiring immediate compensating controls and input validation measures.

📄 الوصف (العربية)

🤖 التحليل الذكي آخر تحليل: May 16, 2026 10:01
🇸🇦 التأثير على المملكة العربية السعودية
Saudi government agencies, educational institutions, and media organizations using Podcast Generator for internal communications or public broadcasting are at risk. Potential impact includes: (1) Compromise of internal communications through malicious script injection by disgruntled employees, (2) Defacement of public-facing podcast content affecting organizational reputation, (3) Session hijacking of administrative users viewing compromised episodes, (4) Data exfiltration from authenticated user sessions. Government entities under NCA oversight and educational institutions under MOE supervision face elevated compliance risks.
🏢 القطاعات السعودية المتأثرة
Government Education Media and Broadcasting Healthcare Corporate Communications
⚖️ درجة المخاطر السعودية (AI)
5.8
/ 10.0
🔧 Remediation Steps (English)
IMMEDIATE ACTIONS:

1. Audit all podcast episodes created/edited in the past 12 months for suspicious JavaScript in long_description fields

2. Restrict access to Podcast Generator to trusted administrators only; disable public episode creation if possible

3. Implement Web Application Firewall (WAF) rules to block script tags and event handlers in long_description submissions

4. Review access logs for unauthorized episode modifications



COMPENSATING CONTROLS:

5. Deploy Content Security Policy (CSP) headers: Content-Security-Policy: script-src 'self'; object-src 'none'

6. Implement HTML entity encoding for all long_description output using htmlspecialchars() or equivalent

7. Use DOMPurify or similar library to sanitize user input before storage

8. Enable HTTP-only and Secure flags on session cookies



DETECTION:

9. Monitor for POST/PUT requests to episode endpoints containing <script>, javascript:, onerror=, onload=, onclick= patterns

10. Alert on long_description fields exceeding typical content length (>5000 characters)

11. Review user activity logs for episodes viewed by multiple users after suspicious edits



PATCHING:

12. Contact Podcast Generator developers for security patch status; consider migration to actively maintained alternatives if no patch timeline provided
🔧 خطوات المعالجة (العربية)
الإجراءات الفورية:

1. تدقيق جميع حلقات البودكاست التي تم إنشاؤها/تعديلها في آخر 12 شهراً بحثاً عن JavaScript مريب في حقول long_description

2. تقييد الوصول إلى Podcast Generator للمسؤولين الموثوقين فقط؛ تعطيل إنشاء الحلقات العامة إن أمكن

3. تنفيذ قواعد جدار حماية تطبيقات الويب (WAF) لحظر علامات البرامج النصية ومعالجات الأحداث في تقديمات long_description

4. مراجعة سجلات الوصول للتعديلات غير المصرح بها على الحلقات



الضوابط التعويضية:

5. نشر رؤوس سياسة أمان المحتوى (CSP): Content-Security-Policy: script-src 'self'; object-src 'none'

6. تنفيذ ترميز كيان HTML لجميع مخرجات long_description باستخدام htmlspecialchars() أو ما يعادله

7. استخدام مكتبة DOMPurify أو مماثلة لتنظيف مدخلات المستخدم قبل التخزين

8. تفعيل أعلام HTTP-only و Secure على ملفات تعريف الجلسة



الكشف:

9. مراقبة طلبات POST/PUT إلى نقاط نهاية الحلقات التي تحتوي على أنماط <script>، javascript:، onerror=، onload=، onclick=

10. التنبيه على حقول long_description التي تتجاوز طول المحتوى النموذجي (>5000 حرف)

11. مراجعة سجلات نشاط المستخدم للحلقات التي يعرضها عدة مستخدمين بعد التعديلات المريبة



التصحيح:

12. الاتصال بمطوري Podcast Generator لحالة التصحيح الأمني؛ النظر في الهجرة إلى بدائل يتم صيانتها بنشاط إذا لم يتم توفير جدول زمني للتصحيح
📋 خريطة الامتثال التنظيمي
🟢 NCA ECC 2024
A.14.2.1 - Secure development policy (input validation requirements) A.14.2.5 - Secure development environment A.12.6.1 - Management of technical vulnerabilities A.12.2.1 - Monitoring of information systems
🔵 SAMA CSF
ID.GV-1 - Organizational processes to manage cybersecurity risk PR.DS-1 - Data security management PR.IP-1 - Security policy and process establishment DE.CM-1 - Detection and analysis of anomalies
🟡 ISO 27001:2022
A.14.2.1 - Secure development policy A.14.2.5 - Secure development environment A.12.6.1 - Management of technical vulnerabilities A.13.1.3 - Segregation of networks
📊 CVSS Score
6.4
/ 10.0 — متوسط
📊 CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:L/I:L/A:N
Attack VectorN — None / Network
Attack ComplexityL — Low / Local
Privileges RequiredL — Low / Local
User InteractionN — None / Network
ScopeC — Changed
ConfidentialityL — Low / Local
IntegrityL — Low / Local
AvailabilityN — None / Network
📋 حقائق سريعة
الخطورة متوسط
CVSS Score6.4
CWECWE-79
EPSS0.03%
اختراق متاح لا
تصحيح متاح ✗ لا
تاريخ النشر 2026-05-15
المصدر nvd
🇸🇦 درجة المخاطر السعودية
5.8
/ 10.0 — مخاطر السعودية
أولوية: HIGH
🏷️ الوسوم
CWE-79
⚡ إجراءات
🔗 NVD Official Page ⚡ Exploit-DB Search 🐙 GitHub PoC Search 🎯 MITRE ATT&CK 📊 CVE Details
مشاركة ثغرة
LinkedIn X / Twitter WhatsApp Telegram
📣 وجدت هذا مفيداً؟
شاركه مع شبكة الأمن السيبراني الخاصة بك
in لينكدإن 𝕏 تويتر 💬 واتساب ✈ تليجرام
🍪 إعدادات الخصوصية
سيزو للاستشارات — متوافق مع نظام حماية البيانات الشخصية السعودي (PDPL)
نستخدم ملفات تعريف الارتباط والتقنيات المشابهة لتوفير أفضل تجربة على منصتنا. يمكنك اختيار الأنواع التي تقبلها.
🔒
ملفات ضرورية Always On
مطلوبة لعمل الموقع بشكل صحيح. لا يمكن تعطيلها.
📋 الجلسات، CSRF، المصادقة، تفضيلات اللغة
📊
ملفات التحليلات
تساعدنا في فهم كيفية استخدام الزوار للموقع وتحسين الأداء.
📋 إحصائيات الصفحات، مدة الجلسة، مصدر الزيارة
⚙️
ملفات وظيفية
تتيح ميزات محسنة مثل تخصيص المحتوى والتفضيلات.
📋 السمة المظلمة/الفاتحة، حجم الخط، لوحات التحكم المخصصة
📣
ملفات تسويقية
تُستخدم لتقديم محتوى وإعلانات ذات صلة باهتماماتك.
📋 تتبع الحملات، إعادة الاستهداف، تحليلات وسائل التواصل
سياسة الخصوصية →
مساعد CISO الذكي
اسألني أي شيء · وثائق · دعم
🔐

عرّفنا بنفسك

أدخل بياناتك للوصول إلى المساعد الكامل

معلوماتك آمنة ولن تُشارك
💬
المساعد السيبراني
متصل — يرد في ثوانٍ
5 / 5
🔐 تحقق من هويتك

أدخل بريدك الإلكتروني لإرسال رمز تحقق قبل إرسال طلب الدعم.

Enter للإرسال · / للأوامر 0 / 2000
CISO AI · مدعوم بالذكاء الاصطناعي
✦ استطلاع سريع ساعدنا في تحسين منصة سيزو للاستشارات ملاحظاتك تشكّل مستقبل منصتنا — لا تستغرق سوى دقيقتين.
⚠ يرجى الإجابة على هذا السؤال للمتابعة

كيف تقيّم تجربتك العامة مع منصتنا؟

قيّم من 1 (ضعيف) إلى 5 (ممتاز)

🎉
شكراً جزيلاً!
تم تسجيل إجابتك بنجاح.