📧 info@ciso.sa | 📱 +966550939344 | الرياض، المملكة العربية السعودية
عن المنصة الأسئلة الشائعة اتصل بنا شروط الخدمة سياسة الخصوصية 🌐 English
🔐

مرحباً — سجّل دخولك أو أنشئ حساباً للوصول الكامل.

🔑 دخول ✨ حساب جديد
🌐 EN تسجيل الدخول إنشاء حساب
🔧 صيانة مجدولة — السبت 2:00-4:00 صباحاً. قد تكون بعض الميزات غير متاحة مؤقتاً.    ●   
💎
خطة Pro بخصم 50% احصل على جميع ميزات AI والتقارير غير المحدودة والدعم ذي الأولوية. الترقية الآن
مركز البحث
ESC للإغلاق
تنقل فتح Ctrl+K بحث
CISO Consulting
Global apt الخدمات المالية والمصرفية HIGH 5h Global vulnerability قطاع التكنولوجيا وتطوير البرمجيات HIGH 8h Global vulnerability الحكومة والوكالات الفيدرالية CRITICAL 8h Global supply_chain تطوير البرمجيات والنظم البيئية مفتوحة المصدر HIGH 9h Global vulnerability برامج المؤسسات/البرامج كخدمة MEDIUM 9h Global supply_chain تطوير البرمجيات HIGH 10h Global general التأمين/إدارة المخاطر HIGH 10h Global data_breach برامج المؤسسات / تكنولوجيا المعلومات CRITICAL 11h Global vulnerability التكنولوجيا/البرمجيات CRITICAL 13h Global malware وسائل التواصل الاجتماعي وتكنولوجيا المستهلك HIGH 13h Global apt الخدمات المالية والمصرفية HIGH 5h Global vulnerability قطاع التكنولوجيا وتطوير البرمجيات HIGH 8h Global vulnerability الحكومة والوكالات الفيدرالية CRITICAL 8h Global supply_chain تطوير البرمجيات والنظم البيئية مفتوحة المصدر HIGH 9h Global vulnerability برامج المؤسسات/البرامج كخدمة MEDIUM 9h Global supply_chain تطوير البرمجيات HIGH 10h Global general التأمين/إدارة المخاطر HIGH 10h Global data_breach برامج المؤسسات / تكنولوجيا المعلومات CRITICAL 11h Global vulnerability التكنولوجيا/البرمجيات CRITICAL 13h Global malware وسائل التواصل الاجتماعي وتكنولوجيا المستهلك HIGH 13h Global apt الخدمات المالية والمصرفية HIGH 5h Global vulnerability قطاع التكنولوجيا وتطوير البرمجيات HIGH 8h Global vulnerability الحكومة والوكالات الفيدرالية CRITICAL 8h Global supply_chain تطوير البرمجيات والنظم البيئية مفتوحة المصدر HIGH 9h Global vulnerability برامج المؤسسات/البرامج كخدمة MEDIUM 9h Global supply_chain تطوير البرمجيات HIGH 10h Global general التأمين/إدارة المخاطر HIGH 10h Global data_breach برامج المؤسسات / تكنولوجيا المعلومات CRITICAL 11h Global vulnerability التكنولوجيا/البرمجيات CRITICAL 13h Global malware وسائل التواصل الاجتماعي وتكنولوجيا المستهلك HIGH 13h
الثغرات

CVE-2025-10731

متوسط
The ReviewX – WooCommerce Product Reviews with Multi-Criteria, Reminder Emails, Google Reviews, Schema & More plugin for WordPress is vulnerable to Sensitive Information Exposure in all versions up to
CWE-285 — نوع الضعف
نُشر: Mar 23, 2026  ·  آخر تحديث: Mar 24, 2026  ·  المصدر: NVD
CVSS v3
5.3
🔗 NVD الرسمي
📄 الوصف (الإنجليزية)

The ReviewX – WooCommerce Product Reviews with Multi-Criteria, Reminder Emails, Google Reviews, Schema & More plugin for WordPress is vulnerable to Sensitive Information Exposure in all versions up to, and including, 2.2.12 via the allReminderSettings function. This makes it possible for unauthenticated attackers to obtain authentication tokens and subsequently bypass admin restrictions to access and export sensitive data including order details, names, emails, addresses, phone numbers, and user information.

🤖 ملخص AI

CVE-2025-10731 affects the ReviewX WooCommerce plugin, allowing unauthenticated attackers to extract authentication tokens and bypass admin controls to access sensitive customer data including orders, emails, and personal information. With no patch available and the vulnerability present in all versions up to 2.2.12, this poses immediate risk to e-commerce platforms in Saudi Arabia. The medium CVSS score (5.3) understates the business impact due to data exposure severity and compliance implications under Saudi regulations.

📄 الوصف (العربية)

🤖 التحليل الذكي آخر تحليل: May 29, 2026 09:36
🇸🇦 التأثير على المملكة العربية السعودية
High impact on Saudi e-commerce sector, particularly small and medium enterprises (SMEs) using WooCommerce. Banking sector at risk if integrated with payment gateways (SADAD, Telr, 2Checkout). Telecom companies (STC, Mobily, Zain) operating online stores vulnerable. Healthcare e-commerce platforms selling medical products exposed. Retail and logistics sectors relying on WooCommerce for order management face customer data breach risks. Non-compliance with SAMA data protection requirements and NCA cybersecurity standards could result in regulatory penalties.
🏢 القطاعات السعودية المتأثرة
E-commerce/Retail Banking and Financial Services Telecommunications Healthcare Logistics and Supply Chain Government (e-services) Hospitality and Tourism
⚖️ درجة المخاطر السعودية (AI)
7.8
/ 10.0
🔧 Remediation Steps (English)
IMMEDIATE ACTIONS:

1. Disable the ReviewX plugin immediately on all WooCommerce installations until patch is available

2. Audit access logs for the allReminderSettings function endpoint for unauthorized access attempts

3. Force password reset for all admin and customer accounts as precautionary measure

4. Review exported data logs to identify if sensitive information was accessed



COMPENSATING CONTROLS:

1. Implement Web Application Firewall (WAF) rules to block requests to allReminderSettings endpoint

2. Restrict plugin access via .htaccess or nginx configuration to authenticated users only

3. Enable WordPress security plugins (Wordfence, Sucuri) with real-time monitoring

4. Implement rate limiting on authentication endpoints

5. Deploy IP whitelisting for admin access



DETECTION RULES:

1. Monitor for POST/GET requests to /wp-admin/admin-ajax.php?action=allReminderSettings

2. Alert on authentication token extraction patterns in access logs

3. Track unusual data export activities from WooCommerce admin

4. Monitor for multiple failed authentication attempts followed by successful access



PATCHING:

1. Contact ReviewX plugin developers for security update timeline

2. Prepare migration plan to alternative review plugins (Yotpo, Trustpilot integration)

3. Once patch released, test in staging environment before production deployment
🔧 خطوات المعالجة (العربية)
الإجراءات الفورية:

1. تعطيل مكون ReviewX فوراً على جميع تثبيتات WooCommerce حتى توفر التصحيح

2. تدقيق سجلات الوصول لدالة allReminderSettings للكشف عن محاولات الوصول غير المصرح بها

3. فرض إعادة تعيين كلمة المرور لجميع حسابات المسؤول والعملاء كإجراء احترازي

4. مراجعة سجلات البيانات المُصدَّرة لتحديد ما إذا تم الوصول إلى المعلومات الحساسة



عناصر التحكم التعويضية:

1. تنفيذ قواعد جدار حماية تطبيقات الويب (WAF) لحظر الطلبات إلى نقطة نهاية allReminderSettings

2. تقييد وصول المكون عبر .htaccess أو إعدادات nginx للمستخدمين المصرح لهم فقط

3. تفعيل مكونات أمان WordPress (Wordfence, Sucuri) مع المراقبة في الوقت الفعلي

4. تنفيذ تحديد معدل على نقاط نهاية المصادقة

5. نشر قائمة بيضاء للعناوين IP لوصول المسؤول



قواعد الكشف:

1. مراقبة طلبات POST/GET إلى /wp-admin/admin-ajax.php?action=allReminderSettings

2. تنبيهات على أنماط استخراج رموز المصادقة في سجلات الوصول

3. تتبع أنشطة تصدير البيانات غير العادية من إدارة WooCommerce

4. مراقبة محاولات المصادقة الفاشلة المتعددة متبوعة بالوصول الناجح



التصحيح:

1. الاتصال بمطوري مكون ReviewX لمعرفة جدول زمني لتحديث الأمان

2. تحضير خطة الهجرة إلى مكونات مراجعة بديلة (تكامل Yotpo, Trustpilot)

3. بمجرد إصدار التصحيح، اختبره في بيئة التدريج قبل نشره في الإنتاج
📋 خريطة الامتثال التنظيمي
🟢 NCA ECC 2024
ECC 2024 A.5.1.1 - Access Control Policies (unauthorized access to admin functions) ECC 2024 A.5.2.1 - User Registration and Access Management (authentication bypass) ECC 2024 A.5.3.1 - Password Management (token exposure) ECC 2024 A.6.1.2 - Information Classification and Handling (sensitive data exposure) ECC 2024 A.7.1.1 - Event Logging (audit trail of unauthorized access)
🔵 SAMA CSF
SAMA CSF ID.AM-1 - Asset Management (inventory of vulnerable plugins) SAMA CSF PR.AC-1 - Access Control (authentication and authorization) SAMA CSF PR.DS-1 - Data Security (protection of customer PII) SAMA CSF DE.AE-1 - Anomalies and Events (detection of unauthorized access) SAMA CSF RS.MI-1 - Incident Mitigation (response to data exposure)
🟡 ISO 27001:2022
ISO 27001:2022 A.5.3 - Segregation of Duties (admin access controls) ISO 27001:2022 A.6.2 - User Access Management (authentication mechanisms) ISO 27001:2022 A.8.2 - Confidentiality (protection of sensitive data) ISO 27001:2022 A.8.3 - Integrity (data protection from unauthorized modification) ISO 27001:2022 A.12.4 - Logging (audit trails for security events)
🟣 PCI DSS v4.0.1
PCI DSS 1.1 - Firewall Configuration Standards (WAF implementation) PCI DSS 2.1 - Default Passwords and Security Parameters (plugin security) PCI DSS 6.2 - Security Patches (vulnerability remediation) PCI DSS 7.1 - Access Control (least privilege principle) PCI DSS 10.2 - User Access Logging (audit trails for data access)
📊 CVSS Score
5.3
/ 10.0 — متوسط
📊 CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:N
Attack VectorN — None / Network
Attack ComplexityL — Low / Local
Privileges RequiredN — None / Network
User InteractionN — None / Network
ScopeU — Unchanged
ConfidentialityL — Low / Local
IntegrityN — None / Network
AvailabilityN — None / Network
📋 حقائق سريعة
الخطورة متوسط
CVSS Score5.3
CWECWE-285
اختراق متاح لا
تصحيح متاح ✗ لا
تاريخ النشر 2026-03-23
المصدر nvd
المشاهدات 6
🇸🇦 درجة المخاطر السعودية
7.8
/ 10.0 — مخاطر السعودية
أولوية: CRITICAL
🏷️ الوسوم
CWE-285
⚡ إجراءات
🔗 NVD Official Page ⚡ Exploit-DB Search 🐙 GitHub PoC Search 🎯 MITRE ATT&CK 📊 CVE Details
مشاركة ثغرة
LinkedIn X / Twitter WhatsApp Telegram
📣 وجدت هذا مفيداً؟
شاركه مع شبكة الأمن السيبراني الخاصة بك
in لينكدإن 𝕏 تويتر 💬 واتساب ✈ تليجرام
🍪 إعدادات الخصوصية
سيزو للاستشارات — متوافق مع نظام حماية البيانات الشخصية السعودي (PDPL)
نستخدم ملفات تعريف الارتباط والتقنيات المشابهة لتوفير أفضل تجربة على منصتنا. يمكنك اختيار الأنواع التي تقبلها.
🔒
ملفات ضرورية Always On
مطلوبة لعمل الموقع بشكل صحيح. لا يمكن تعطيلها.
📋 الجلسات، CSRF، المصادقة، تفضيلات اللغة
📊
ملفات التحليلات
تساعدنا في فهم كيفية استخدام الزوار للموقع وتحسين الأداء.
📋 إحصائيات الصفحات، مدة الجلسة، مصدر الزيارة
⚙️
ملفات وظيفية
تتيح ميزات محسنة مثل تخصيص المحتوى والتفضيلات.
📋 السمة المظلمة/الفاتحة، حجم الخط، لوحات التحكم المخصصة
📣
ملفات تسويقية
تُستخدم لتقديم محتوى وإعلانات ذات صلة باهتماماتك.
📋 تتبع الحملات، إعادة الاستهداف، تحليلات وسائل التواصل
سياسة الخصوصية →
مساعد CISO الذكي
اسألني أي شيء · وثائق · دعم
🔐

عرّفنا بنفسك

أدخل بياناتك للوصول إلى المساعد الكامل

معلوماتك آمنة ولن تُشارك
💬
المساعد السيبراني
متصل — يرد في ثوانٍ
5 / 5
🔐 تحقق من هويتك

أدخل بريدك الإلكتروني لإرسال رمز تحقق قبل إرسال طلب الدعم.

Enter للإرسال · / للأوامر 0 / 2000
CISO AI · مدعوم بالذكاء الاصطناعي
✦ استطلاع سريع ساعدنا في تحسين منصة سيزو للاستشارات ملاحظاتك تشكّل مستقبل منصتنا — لا تستغرق سوى دقيقتين.
⚠ يرجى الإجابة على هذا السؤال للمتابعة

كيف تقيّم تجربتك العامة مع منصتنا؟

قيّم من 1 (ضعيف) إلى 5 (ممتاز)

🎉
شكراً جزيلاً!
تم تسجيل إجابتك بنجاح.