📧 info@ciso.sa | 📱 +966550939344 | الرياض، المملكة العربية السعودية
عن المنصة الأسئلة الشائعة اتصل بنا شروط الخدمة سياسة الخصوصية 🌐 English
🔐

مرحباً — سجّل دخولك أو أنشئ حساباً للوصول الكامل.

🔑 دخول ✨ حساب جديد
🌐 EN تسجيل الدخول إنشاء حساب
🔧 صيانة مجدولة — السبت 2:00-4:00 صباحاً. قد تكون بعض الميزات غير متاحة مؤقتاً.    ●   
💎
خطة Pro بخصم 50% احصل على جميع ميزات AI والتقارير غير المحدودة والدعم ذي الأولوية. الترقية الآن
مركز البحث
ESC للإغلاق
تنقل فتح Ctrl+K بحث
CISO Consulting
Global ransomware قطاعات متعددة / المؤسسات CRITICAL 1h Global general التكنولوجيا والقطاع القانوني MEDIUM 2h Global ransomware الخدمات المالية / العملات المشفرة CRITICAL 2h Global general أنظمة التحكم الصناعية / تكنولوجيا التشغيل HIGH 3h Global apt مزودو الخدمات المدارة / خدمات تكنولوجيا المعلومات HIGH 4h Global vulnerability برمجيات المؤسسات HIGH 4h Global general عمليات الأمن السيبراني HIGH 4h Global general صناعة الأمن السيبراني LOW 4h Global supply_chain قطاعات متعددة CRITICAL 5h Global vulnerability الحكومة والوكالات الفيدرالية HIGH 5h Global ransomware قطاعات متعددة / المؤسسات CRITICAL 1h Global general التكنولوجيا والقطاع القانوني MEDIUM 2h Global ransomware الخدمات المالية / العملات المشفرة CRITICAL 2h Global general أنظمة التحكم الصناعية / تكنولوجيا التشغيل HIGH 3h Global apt مزودو الخدمات المدارة / خدمات تكنولوجيا المعلومات HIGH 4h Global vulnerability برمجيات المؤسسات HIGH 4h Global general عمليات الأمن السيبراني HIGH 4h Global general صناعة الأمن السيبراني LOW 4h Global supply_chain قطاعات متعددة CRITICAL 5h Global vulnerability الحكومة والوكالات الفيدرالية HIGH 5h Global ransomware قطاعات متعددة / المؤسسات CRITICAL 1h Global general التكنولوجيا والقطاع القانوني MEDIUM 2h Global ransomware الخدمات المالية / العملات المشفرة CRITICAL 2h Global general أنظمة التحكم الصناعية / تكنولوجيا التشغيل HIGH 3h Global apt مزودو الخدمات المدارة / خدمات تكنولوجيا المعلومات HIGH 4h Global vulnerability برمجيات المؤسسات HIGH 4h Global general عمليات الأمن السيبراني HIGH 4h Global general صناعة الأمن السيبراني LOW 4h Global supply_chain قطاعات متعددة CRITICAL 5h Global vulnerability الحكومة والوكالات الفيدرالية HIGH 5h
الثغرات

CVE-2022-50968

متوسط
CWE-79 — نوع الضعف
نُشر: May 10, 2026  ·  آخر تحديث: May 13, 2026  ·  المصدر: NVD
CVSS v3
6.1
🔗 NVD الرسمي
📄 الوصف (الإنجليزية)

uBidAuction 2.0.1 contains a reflected cross-site scripting vulnerability in the auctions/manage module. The date_created, date_from, date_to, and created_at parameters in the filter functionality are not properly sanitized, allowing remote attackers to inject malicious scripts via crafted GET requests that execute in victims' browsers.

🤖 ملخص AI

CVE-2022-50968 is a reflected XSS vulnerability in uBidAuction 2.0.1 affecting the auctions/manage module's filter parameters. Attackers can inject malicious scripts through crafted GET requests to execute arbitrary code in users' browsers, potentially leading to session hijacking, credential theft, or malware distribution. With no patch available and no active exploit in the wild, immediate compensating controls are essential for organizations using this platform.

📄 الوصف (العربية)

🤖 التحليل الذكي آخر تحليل: May 23, 2026 12:42
🇸🇦 التأثير على المملكة العربية السعودية
This vulnerability primarily impacts Saudi organizations operating e-auction platforms or procurement systems, particularly in government procurement (GAMPCO), private sector auction houses, and real estate trading platforms. Government agencies using uBidAuction for tender management face risks of unauthorized access to procurement data and session hijacking. Banking and financial institutions offering auction services are at moderate risk for credential theft and fraud. The vulnerability could compromise confidentiality of bidding information and integrity of auction processes critical to Saudi commerce.
🏢 القطاعات السعودية المتأثرة
Government Procurement Banking and Financial Services Real Estate and Property Trading E-Commerce and Auction Platforms Telecommunications Energy Sector
⚖️ درجة المخاطر السعودية (AI)
6.8
/ 10.0
🔧 Remediation Steps (English)
Immediate Actions:

1. Audit all instances of uBidAuction 2.0.1 in your environment and document usage

2. Implement Web Application Firewall (WAF) rules to block requests containing script tags and event handlers in date_created, date_from, date_to, and created_at parameters

3. Enable HTTP-only and Secure flags on session cookies to prevent XSS-based session hijacking

4. Deploy Content Security Policy (CSP) headers with strict-dynamic and nonce-based inline script restrictions



Compensating Controls:

5. Input validation: Implement strict server-side validation for all date parameters using whitelist approach (YYYY-MM-DD format only)

6. Output encoding: Apply HTML entity encoding to all filter parameters before rendering in responses

7. Implement request logging and monitoring for suspicious patterns in filter parameters

8. Disable JavaScript execution in filter results where possible



Patching Guidance:

9. Contact uBidAuction vendor immediately for security patch availability timeline

10. If no patch is forthcoming, consider migrating to alternative auction platforms with active security support

11. Implement regular security assessments and penetration testing of the application



Detection Rules:

12. Monitor for GET requests to /auctions/manage containing: <script, javascript:, onerror=, onload=, onclick=

13. Alert on unusual characters in date parameters: %3C, %3E, %27, %22, %28, %29

14. Track failed filter operations and parameter encoding anomalies
🔧 خطوات المعالجة (العربية)
الإجراءات الفورية:

1. تدقيق جميع نسخ uBidAuction 2.0.1 في بيئتك وتوثيق الاستخدام

2. تطبيق قواعد جدار حماية تطبيقات الويب (WAF) لحجب الطلبات التي تحتوي على علامات البرامج النصية ومعالجات الأحداث في معاملات date_created و date_from و date_to و created_at

3. تفعيل أعلام HTTP-only و Secure على ملفات تعريف الارتباط للجلسة لمنع اختطاف الجلسات القائمة على XSS

4. نشر رؤوس سياسة أمان المحتوى (CSP) مع تقييد البرامج النصية المضمنة القائمة على strict-dynamic و nonce



الضوابط التعويضية:

5. التحقق من الإدخال: تطبيق التحقق الصارم من جانب الخادم لجميع معاملات التاريخ باستخدام نهج القائمة البيضاء (صيغة YYYY-MM-DD فقط)

6. ترميز الإخراج: تطبيق ترميز كيانات HTML على جميع معاملات التصفية قبل العرض في الاستجابات

7. تطبيق تسجيل الطلبات والمراقبة للأنماط المريبة في معاملات التصفية

8. تعطيل تنفيذ JavaScript في نتائج التصفية حيث أمكن



إرشادات التصحيح:

9. الاتصال بمورد uBidAuction فوراً للحصول على الجدول الزمني لتوفر تصحيح الأمان

10. إذا لم يكن هناك تصحيح متاح، فكر في الهجرة إلى منصات مزادات بديلة مع دعم أمان نشط

11. تطبيق تقييمات أمان منتظمة واختبار الاختراق للتطبيق



قواعد الكشف:

12. مراقبة طلبات GET إلى /auctions/manage التي تحتوي على: <script, javascript:, onerror=, onload=, onclick=

13. تنبيه على الأحرف غير العادية في معاملات التاريخ: %3C, %3E, %27, %22, %28, %29

14. تتبع عمليات التصفية الفاشلة وشذوذ ترميز المعاملات
📋 خريطة الامتثال التنظيمي
🟢 NCA ECC 2024
ECC 2024 A.14.2.1 - Secure development policy and procedures ECC 2024 A.14.2.5 - Security testing in development and acceptance ECC 2024 A.14.3.1 - Information security requirements for external parties ECC 2024 A.13.1.3 - Segregation of networks
🔵 SAMA CSF
SAMA CSF ID.BE-3.2 - Third-party risk management SAMA CSF PR.DS-6 - Data is protected from unauthorized access SAMA CSF PR.PT-1 - Security policies and procedures are maintained SAMA CSF DE.CM-1 - The network is monitored for unauthorized connections
🟡 ISO 27001:2022
ISO 27001:2022 A.5.1.1 - Policies for information security ISO 27001:2022 A.8.2.3 - Segregation of duties ISO 27001:2022 A.14.2.1 - Secure development policy ISO 27001:2022 A.14.2.5 - Secure development environment
🟣 PCI DSS v4.0.1
PCI DSS 6.5.7 - Cross-site scripting prevention PCI DSS 6.5.1 - Injection flaws prevention PCI DSS 11.3 - Penetration testing
📊 CVSS Score
6.1
/ 10.0 — متوسط
📊 CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N
Attack VectorN — None / Network
Attack ComplexityL — Low / Local
Privileges RequiredN — None / Network
User InteractionR — Required
ScopeC — Changed
ConfidentialityL — Low / Local
IntegrityL — Low / Local
AvailabilityN — None / Network
📋 حقائق سريعة
الخطورة متوسط
CVSS Score6.1
CWECWE-79
EPSS0.04%
اختراق متاح لا
تصحيح متاح ✗ لا
تاريخ النشر 2026-05-10
المصدر nvd
المشاهدات 2
🇸🇦 درجة المخاطر السعودية
6.8
/ 10.0 — مخاطر السعودية
أولوية: HIGH
🏷️ الوسوم
CWE-79
⚡ إجراءات
🔗 NVD Official Page ⚡ Exploit-DB Search 🐙 GitHub PoC Search 🎯 MITRE ATT&CK 📊 CVE Details
مشاركة ثغرة
LinkedIn X / Twitter WhatsApp Telegram
📣 وجدت هذا مفيداً؟
شاركه مع شبكة الأمن السيبراني الخاصة بك
in لينكدإن 𝕏 تويتر 💬 واتساب ✈ تليجرام
🍪 إعدادات الخصوصية
سيزو للاستشارات — متوافق مع نظام حماية البيانات الشخصية السعودي (PDPL)
نستخدم ملفات تعريف الارتباط والتقنيات المشابهة لتوفير أفضل تجربة على منصتنا. يمكنك اختيار الأنواع التي تقبلها.
🔒
ملفات ضرورية Always On
مطلوبة لعمل الموقع بشكل صحيح. لا يمكن تعطيلها.
📋 الجلسات، CSRF، المصادقة، تفضيلات اللغة
📊
ملفات التحليلات
تساعدنا في فهم كيفية استخدام الزوار للموقع وتحسين الأداء.
📋 إحصائيات الصفحات، مدة الجلسة، مصدر الزيارة
⚙️
ملفات وظيفية
تتيح ميزات محسنة مثل تخصيص المحتوى والتفضيلات.
📋 السمة المظلمة/الفاتحة، حجم الخط، لوحات التحكم المخصصة
📣
ملفات تسويقية
تُستخدم لتقديم محتوى وإعلانات ذات صلة باهتماماتك.
📋 تتبع الحملات، إعادة الاستهداف، تحليلات وسائل التواصل
سياسة الخصوصية →
مساعد CISO الذكي
اسألني أي شيء · وثائق · دعم
🔐

عرّفنا بنفسك

أدخل بياناتك للوصول إلى المساعد الكامل

معلوماتك آمنة ولن تُشارك
💬
المساعد السيبراني
متصل — يرد في ثوانٍ
5 / 5
🔐 تحقق من هويتك

أدخل بريدك الإلكتروني لإرسال رمز تحقق قبل إرسال طلب الدعم.

Enter للإرسال · / للأوامر 0 / 2000
CISO AI · مدعوم بالذكاء الاصطناعي
✦ استطلاع سريع ساعدنا في تحسين منصة سيزو للاستشارات ملاحظاتك تشكّل مستقبل منصتنا — لا تستغرق سوى دقيقتين.
⚠ يرجى الإجابة على هذا السؤال للمتابعة

كيف تقيّم تجربتك العامة مع منصتنا؟

قيّم من 1 (ضعيف) إلى 5 (ممتاز)

🎉
شكراً جزيلاً!
تم تسجيل إجابتك بنجاح.