📄 Description (English)
Unrestricted Upload of File with Dangerous Type vulnerability in Birtech Information Technologies Industry and Trade Ltd. Co. Sensaway allows Upload a Web Shell to a Web Server.This issue affects Sensaway: through 09022026.
NOTE: The vendor was contacted early about this disclosure but did not respond in any way.
🤖 AI Executive Summary
CVE-2025-10465 is a critical file upload vulnerability in Birtech Sensaway (through version 09022026) that allows attackers to upload web shells to affected servers, potentially leading to complete system compromise. With a CVSS score of 8.8 and no vendor response to disclosure attempts, this vulnerability poses an immediate threat to organizations using this software. The lack of input validation on file uploads creates a direct path to remote code execution and unauthorized access.
📄 Description (Arabic)
🤖 AI Intelligence Analysis Analyzed: Apr 22, 2026 04:03
🇸🇦 Saudi Arabia Impact Assessment
This vulnerability poses significant risk to Saudi organizations in government, healthcare, and financial sectors that may utilize Birtech Sensaway for document management or web-based services. Government agencies under NCA oversight and healthcare institutions regulated by MOH are particularly vulnerable. Banking sector organizations using this software for customer-facing portals face direct risk of data breach and fraud. The lack of vendor response elevates urgency for affected Saudi organizations to immediately identify and remediate deployments.
🏢 Affected Saudi Sectors
Government
Healthcare
Banking and Financial Services
Telecommunications
Education
Energy
Document Management Services
🎯 MITRE ATT&CK Techniques
⚖️ Saudi Risk Score (AI)
8.9
/ 10.0
🔧 Remediation Steps (English)
IMMEDIATE ACTIONS:
1. Identify all instances of Birtech Sensaway running version 09022026 or earlier across your infrastructure
2. Isolate affected systems from production networks if patch cannot be immediately applied
3. Review web server logs for suspicious file uploads (particularly .php, .jsp, .aspx, .exe files) from the past 30 days
4. Check for presence of web shells in web root directories using file integrity monitoring
PATCHING:
1. Apply vendor patch immediately to version 09022026+ if available
2. If patch unavailable, implement compensating controls (see below)
COMPENSATING CONTROLS:
1. Implement strict file upload restrictions at application level:
- Whitelist only required file types (e.g., .pdf, .doc, .docx)
- Reject executable file extensions (.php, .jsp, .aspx, .exe, .sh, .bat, .cmd)
- Store uploads outside web root directory
- Rename uploaded files to remove original extensions
2. Configure web server to prevent execution of scripts in upload directories (disable script execution in upload folder via .htaccess or web.config)
3. Implement Content-Security-Policy headers to prevent inline script execution
4. Enable file type validation using MIME type checking AND magic number verification
5. Implement strict access controls on upload functionality
DETECTION:
1. Monitor for HTTP POST requests to upload endpoints with suspicious file extensions
2. Alert on creation of executable files (.php, .jsp, .aspx) in web-accessible directories
3. Monitor for unusual process execution from web server user accounts
4. Implement IDS/IPS rules to detect web shell patterns in HTTP traffic
5. Review file modification timestamps in web directories for unauthorized changes
🔧 خطوات المعالجة (العربية)
الإجراءات الفورية:
1. تحديد جميع نسخ Birtech Sensaway التي تعمل بالإصدار 09022026 أو أقدم عبر البنية التحتية الخاصة بك
2. عزل الأنظمة المتأثرة عن شبكات الإنتاج إذا لم يكن يمكن تطبيق التصحيح فوراً
3. مراجعة سجلات خادم الويب للتحميلات المريبة (خاصة ملفات .php و .jsp و .aspx و .exe) من آخر 30 يوماً
4. التحقق من وجود أصداف ويب في مجلدات جذر الويب باستخدام مراقبة سلامة الملفات
تطبيق التصحيحات:
1. تطبيق تصحيح البائع فوراً على الإصدار 09022026+ إن توفر
2. إذا لم يكن التصحيح متاحاً، قم بتنفيذ الضوابط البديلة
الضوابط البديلة:
1. تنفيذ قيود صارمة على تحميل الملفات على مستوى التطبيق:
- قائمة بيضاء بأنواع الملفات المطلوبة فقط
- رفض امتدادات الملفات القابلة للتنفيذ
- تخزين التحميلات خارج مجلد جذر الويب
- إعادة تسمية الملفات المحملة
2. تكوين خادم الويب لمنع تنفيذ البرامج النصية في مجلدات التحميل
3. تنفيذ رؤوس Content-Security-Policy
4. تفعيل التحقق من نوع الملف باستخدام التحقق من نوع MIME والتحقق من رقم السحر
5. تنفيذ ضوابط وصول صارمة على وظيفة التحميل
الكشف:
1. مراقبة طلبات HTTP POST إلى نقاط نهاية التحميل بامتدادات ملفات مريبة
2. التنبيه عند إنشاء ملفات قابلة للتنفيذ في المجلدات التي يمكن الوصول إليها عبر الويب
3. مراقبة تنفيذ العمليات غير العادية من حسابات مستخدمي خادم الويب
4. تنفيذ قواعس IDS/IPS للكشف عن أنماط أصداف الويب
5. مراجعة طوابع زمن تعديل الملفات في مجلدات الويب
📋 Regulatory Compliance Mapping
🟢 NCA ECC 2024
A.14.2.1 - Information security requirements analysis and specification
A.14.2.5 - Access control
A.12.4.1 - Event logging
A.12.4.3 - Administrator and operator logs
A.14.2.4 - Secure development and change management
🔵 SAMA CSF
ID.AM-2 - Software platforms and applications within the organization are inventoried
PR.AC-1 - Identities and credentials are issued and managed securely
PR.DS-2 - Data in transit is protected
DE.CM-1 - The network is monitored to detect potential cybersecurity events
RS.MI-2 - Incidents are mitigated
🟡 ISO 27001:2022
A.14.2.1 - Secure development policy
A.14.2.5 - Access control in development and test environments
A.12.4.1 - Event logging
A.14.3.1 - Separation of development, test and production environments
A.8.3.4 - Password management
🟣 PCI DSS v4.0
6.5.8 - Improper access control (file upload vulnerability)
6.2 - Ensure that all system components and software are kept up to date with all applicable security patches
11.2 - Run automated vulnerability scanning tools regularly
🔗 References & Sources 1