📧 info@ciso.sa | 📱 +966550939344 | الرياض، المملكة العربية السعودية
عن المنصة الأسئلة الشائعة اتصل بنا شروط الخدمة سياسة الخصوصية 🌐 English
🔐

مرحباً — سجّل دخولك أو أنشئ حساباً للوصول الكامل.

🔑 دخول ✨ حساب جديد
🌐 EN تسجيل الدخول إنشاء حساب
🔧 صيانة مجدولة — السبت 2:00-4:00 صباحاً. قد تكون بعض الميزات غير متاحة مؤقتاً.    ●   
💎
خطة Pro بخصم 50% احصل على جميع ميزات AI والتقارير غير المحدودة والدعم ذي الأولوية. الترقية الآن
مركز البحث
ESC للإغلاق
تنقل فتح Ctrl+K بحث
CISO Consulting
Global vulnerability برامج المؤسسات / تحليل البيانات CRITICAL 1h Global vulnerability الذكاء الاصطناعي والتكنولوجيا HIGH 4h Global general قطاع التكنولوجيا والذكاء الاصطناعي MEDIUM 7h Global general قطاع التكنولوجيا والذكاء الاصطناعي HIGH 8h Global vulnerability التعليم العالي CRITICAL 17h Global data_breach القطاع الحكومي HIGH 18h Global supply_chain تطوير البرمجيات والمجتمعات مفتوحة المصدر CRITICAL 18h Global malware تطوير البرمجيات CRITICAL 18h Global phishing قطاعات متعددة HIGH 19h Global vulnerability تطبيقات الويب CRITICAL 20h Global vulnerability برامج المؤسسات / تحليل البيانات CRITICAL 1h Global vulnerability الذكاء الاصطناعي والتكنولوجيا HIGH 4h Global general قطاع التكنولوجيا والذكاء الاصطناعي MEDIUM 7h Global general قطاع التكنولوجيا والذكاء الاصطناعي HIGH 8h Global vulnerability التعليم العالي CRITICAL 17h Global data_breach القطاع الحكومي HIGH 18h Global supply_chain تطوير البرمجيات والمجتمعات مفتوحة المصدر CRITICAL 18h Global malware تطوير البرمجيات CRITICAL 18h Global phishing قطاعات متعددة HIGH 19h Global vulnerability تطبيقات الويب CRITICAL 20h Global vulnerability برامج المؤسسات / تحليل البيانات CRITICAL 1h Global vulnerability الذكاء الاصطناعي والتكنولوجيا HIGH 4h Global general قطاع التكنولوجيا والذكاء الاصطناعي MEDIUM 7h Global general قطاع التكنولوجيا والذكاء الاصطناعي HIGH 8h Global vulnerability التعليم العالي CRITICAL 17h Global data_breach القطاع الحكومي HIGH 18h Global supply_chain تطوير البرمجيات والمجتمعات مفتوحة المصدر CRITICAL 18h Global malware تطوير البرمجيات CRITICAL 18h Global phishing قطاعات متعددة HIGH 19h Global vulnerability تطبيقات الويب CRITICAL 20h
الثغرات

CVE-2025-12166

مرتفع
The Appointment Booking Calendar — Simply Schedule Appointments Booking Plugin plugin for WordPress is vulnerable to blind SQL Injection via the `order` and `append_where_sql` parameters in all versio
CWE-89 — نوع الضعف
نُشر: Jan 14, 2026  ·  آخر تحديث: Feb 28, 2026  ·  المصدر: NVD
CVSS v3
7.5
🔗 NVD الرسمي
📄 الوصف (الإنجليزية)

The Appointment Booking Calendar — Simply Schedule Appointments Booking Plugin plugin for WordPress is vulnerable to blind SQL Injection via the `order` and `append_where_sql` parameters in all versions up to, and including, 1.6.9.9 due to insufficient escaping on the user supplied parameter and lack of sufficient preparation on the existing SQL query. This makes it possible for unauthenticated attackers to append additional SQL queries into already existing queries that can be used to extract sensitive information from the database.

🤖 ملخص AI

A blind SQL injection vulnerability exists in the Simply Schedule Appointments Booking Plugin for WordPress (versions up to 1.6.9.9) affecting the `order` and `append_where_sql` parameters. Unauthenticated attackers can exploit this to extract sensitive database information without authentication. The vulnerability poses significant risk to Saudi organizations using this plugin for appointment scheduling, particularly in healthcare, government, and service sectors.

📄 الوصف (العربية)

🤖 التحليل الذكي آخر تحليل: May 2, 2026 00:54
🇸🇦 التأثير على المملكة العربية السعودية
High impact on Saudi healthcare sector (hospitals, clinics using appointment systems), government agencies managing citizen appointments, and service providers. ARAMCO and energy sector facilities using this plugin for maintenance scheduling are at risk. Telecom companies (STC, Mobily) offering appointment services could expose customer data. Banking sector customer service appointment systems may be compromised. Risk of exposure of personal identifiable information (PII), medical records, financial data, and government citizen information stored in WordPress databases.
🏢 القطاعات السعودية المتأثرة
Healthcare Government Banking and Financial Services Energy (ARAMCO) Telecommunications (STC, Mobily) Hospitality and Tourism Education Professional Services
⚖️ درجة المخاطر السعودية (AI)
8.2
/ 10.0
🔧 Remediation Steps (English)
IMMEDIATE ACTIONS:

1. Identify all WordPress installations using Simply Schedule Appointments Booking Plugin

2. Check plugin version against affected versions (up to 1.6.9.9)

3. Disable the plugin immediately if running vulnerable version

4. Review database access logs for suspicious SQL queries



PATCHING:

1. Update plugin to version 1.7.0 or later immediately

2. Ensure WordPress core and all other plugins are updated

3. Test updates in staging environment before production deployment



COMPENSATING CONTROLS (if immediate patching not possible):

1. Implement Web Application Firewall (WAF) rules to block SQL injection patterns in `order` and `append_where_sql` parameters

2. Restrict database user permissions to minimum required privileges

3. Enable database query logging and monitoring

4. Implement rate limiting on appointment booking endpoints

5. Disable plugin if not actively used



DETECTION:

1. Monitor for SQL keywords (UNION, SELECT, DROP, INSERT) in HTTP parameters

2. Alert on unusual database query patterns or failed authentication attempts

3. Review WordPress error logs for SQL syntax errors

4. Implement IDS/IPS signatures for blind SQL injection attempts
🔧 خطوات المعالجة (العربية)
الإجراءات الفورية:

1. تحديد جميع تثبيتات WordPress التي تستخدم مكون Simply Schedule Appointments Booking Plugin

2. التحقق من إصدار المكون مقابل الإصدارات المتأثرة (حتى 1.6.9.9)

3. تعطيل المكون فوراً إذا كان يعمل بإصدار معرض للخطر

4. مراجعة سجلات الوصول إلى قاعدة البيانات للاستعلامات المريبة



التصحيح:

1. تحديث المكون إلى الإصدار 1.7.0 أو أحدث فوراً

2. التأكد من تحديث نواة WordPress وجميع المكونات الأخرى

3. اختبار التحديثات في بيئة التطوير قبل النشر في الإنتاج



الضوابط البديلة (إذا لم يكن التصحيح الفوري ممكناً):

1. تنفيذ قواعد جدار حماية تطبيقات الويب (WAF) لحجب أنماط حقن SQL في معاملات `order` و `append_where_sql`

2. تقييد صلاحيات مستخدم قاعدة البيانات للحد الأدنى المطلوب

3. تفعيل تسجيل ومراقبة استعلامات قاعدة البيانات

4. تنفيذ تحديد معدل على نقاط نهاية حجز المواعيد

5. تعطيل المكون إذا لم يكن قيد الاستخدام النشط



الكشف:

1. مراقبة كلمات SQL الرئيسية (UNION, SELECT, DROP, INSERT) في معاملات HTTP

2. التنبيه على أنماط استعلامات قاعدة البيانات غير العادية أو محاولات المصادقة الفاشلة

3. مراجعة سجلات أخطاء WordPress لأخطاء بناء جملة SQL

4. تنفيذ توقيعات نظام كشف/منع الاختراق (IDS/IPS) لمحاولات حقن SQL العمياء
📋 خريطة الامتثال التنظيمي
🟢 NCA ECC 2024
A.5.1.1 - Information Security Policies and Procedures A.6.2.1 - Access Control Implementation A.8.2.1 - User Access Management A.12.2.1 - Change Management A.12.6.1 - Management of Technical Vulnerabilities
🔵 SAMA CSF
ID.GV-1 - Organizational cybersecurity policy is established PR.AC-1 - Identities and credentials are issued and managed PR.DS-2 - Data in transit is protected DE.CM-1 - The network is monitored for unauthorized connections RS.RP-1 - Response plan is executed during or after an incident
🟡 ISO 27001:2022
A.5.1 - Management direction for information security A.6.1.2 - Information security roles and responsibilities A.8.1.1 - User registration and de-registration A.12.2.1 - Change management procedures A.12.6.1 - Management of technical vulnerabilities A.14.2.1 - Secure development policy
🟣 PCI DSS v4.0.1
Requirement 1 - Install and maintain a firewall configuration Requirement 2 - Do not use vendor-supplied defaults Requirement 6 - Develop and maintain secure systems and applications Requirement 6.2 - Ensure security patches are installed Requirement 11 - Regularly test security systems and processes
📊 CVSS Score
7.5
/ 10.0 — مرتفع
📊 CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N
Attack VectorN — None / Network
Attack ComplexityL — Low / Local
Privileges RequiredN — None / Network
User InteractionN — None / Network
ScopeU — Unchanged
ConfidentialityH — High
IntegrityN — None / Network
AvailabilityN — None / Network
📋 حقائق سريعة
الخطورة مرتفع
CVSS Score7.5
CWECWE-89
EPSS0.09%
اختراق متاح لا
تصحيح متاح ✓ نعم
تاريخ النشر 2026-01-14
المصدر nvd
المشاهدات 7
🇸🇦 درجة المخاطر السعودية
8.2
/ 10.0 — مخاطر السعودية
أولوية: CRITICAL
🏷️ الوسوم
CWE-89
⚡ إجراءات
🔗 NVD Official Page ⚡ Exploit-DB Search 🐙 GitHub PoC Search 🎯 MITRE ATT&CK 📊 CVE Details
مشاركة ثغرة
LinkedIn X / Twitter WhatsApp Telegram

💬 التعليقات

0
جارٍ التحميل
📣 وجدت هذا مفيداً؟
شاركه مع شبكة الأمن السيبراني الخاصة بك
in لينكدإن 𝕏 تويتر 💬 واتساب ✈ تليجرام
🍪 إعدادات الخصوصية
سيزو للاستشارات — متوافق مع نظام حماية البيانات الشخصية السعودي (PDPL)
نستخدم ملفات تعريف الارتباط والتقنيات المشابهة لتوفير أفضل تجربة على منصتنا. يمكنك اختيار الأنواع التي تقبلها.
🔒
ملفات ضرورية Always On
مطلوبة لعمل الموقع بشكل صحيح. لا يمكن تعطيلها.
📋 الجلسات، CSRF، المصادقة، تفضيلات اللغة
📊
ملفات التحليلات
تساعدنا في فهم كيفية استخدام الزوار للموقع وتحسين الأداء.
📋 إحصائيات الصفحات، مدة الجلسة، مصدر الزيارة
⚙️
ملفات وظيفية
تتيح ميزات محسنة مثل تخصيص المحتوى والتفضيلات.
📋 السمة المظلمة/الفاتحة، حجم الخط، لوحات التحكم المخصصة
📣
ملفات تسويقية
تُستخدم لتقديم محتوى وإعلانات ذات صلة باهتماماتك.
📋 تتبع الحملات، إعادة الاستهداف، تحليلات وسائل التواصل
سياسة الخصوصية →
مساعد CISO الذكي
اسألني أي شيء · وثائق · دعم
🔐

عرّفنا بنفسك

أدخل بياناتك للوصول إلى المساعد الكامل

معلوماتك آمنة ولن تُشارك
💬
المساعد السيبراني
متصل — يرد في ثوانٍ
5 / 5
🔐 تحقق من هويتك

أدخل بريدك الإلكتروني لإرسال رمز تحقق قبل إرسال طلب الدعم.

Enter للإرسال · / للأوامر 0 / 2000
CISO AI · مدعوم بالذكاء الاصطناعي
✦ استطلاع سريع ساعدنا في تحسين منصة سيزو للاستشارات ملاحظاتك تشكّل مستقبل منصتنا — لا تستغرق سوى دقيقتين.
⚠ يرجى الإجابة على هذا السؤال للمتابعة

كيف تقيّم تجربتك العامة مع منصتنا؟

قيّم من 1 (ضعيف) إلى 5 (ممتاز)

🎉
شكراً جزيلاً!
تم تسجيل إجابتك بنجاح.