📧 info@ciso.sa | 📱 +966550939344 | الرياض، المملكة العربية السعودية
عن المنصة الأسئلة الشائعة اتصل بنا شروط الخدمة سياسة الخصوصية 🌐 English
🔐

مرحباً — سجّل دخولك أو أنشئ حساباً للوصول الكامل.

🔑 دخول ✨ حساب جديد
🌐 EN تسجيل الدخول إنشاء حساب
🔧 صيانة مجدولة — السبت 2:00-4:00 صباحاً. قد تكون بعض الميزات غير متاحة مؤقتاً.    ●   
💎
خطة Pro بخصم 50% احصل على جميع ميزات AI والتقارير غير المحدودة والدعم ذي الأولوية. الترقية الآن
مركز البحث
ESC للإغلاق
تنقل فتح Ctrl+K بحث
CISO Consulting
Global vulnerability التعليم العالي CRITICAL 2h Global data_breach القطاع الحكومي HIGH 3h Global supply_chain تطوير البرمجيات والمجتمعات مفتوحة المصدر CRITICAL 3h Global malware تطوير البرمجيات CRITICAL 3h Global phishing قطاعات متعددة HIGH 3h Global vulnerability تطبيقات الويب CRITICAL 4h Global apt البنية التحتية الحرجة CRITICAL 4h Global ransomware قطاعات متعددة CRITICAL 4h Global supply_chain تطوير البرمجيات، البنية التحتية لتكنولوجيا المعلومات، التكنولوجيا CRITICAL 5h Global vulnerability,data_breach,general التكنولوجيا، أنظمة التحكم الصناعي، الاتصالات HIGH 6h Global vulnerability التعليم العالي CRITICAL 2h Global data_breach القطاع الحكومي HIGH 3h Global supply_chain تطوير البرمجيات والمجتمعات مفتوحة المصدر CRITICAL 3h Global malware تطوير البرمجيات CRITICAL 3h Global phishing قطاعات متعددة HIGH 3h Global vulnerability تطبيقات الويب CRITICAL 4h Global apt البنية التحتية الحرجة CRITICAL 4h Global ransomware قطاعات متعددة CRITICAL 4h Global supply_chain تطوير البرمجيات، البنية التحتية لتكنولوجيا المعلومات، التكنولوجيا CRITICAL 5h Global vulnerability,data_breach,general التكنولوجيا، أنظمة التحكم الصناعي، الاتصالات HIGH 6h Global vulnerability التعليم العالي CRITICAL 2h Global data_breach القطاع الحكومي HIGH 3h Global supply_chain تطوير البرمجيات والمجتمعات مفتوحة المصدر CRITICAL 3h Global malware تطوير البرمجيات CRITICAL 3h Global phishing قطاعات متعددة HIGH 3h Global vulnerability تطبيقات الويب CRITICAL 4h Global apt البنية التحتية الحرجة CRITICAL 4h Global ransomware قطاعات متعددة CRITICAL 4h Global supply_chain تطوير البرمجيات، البنية التحتية لتكنولوجيا المعلومات، التكنولوجيا CRITICAL 5h Global vulnerability,data_breach,general التكنولوجيا، أنظمة التحكم الصناعي، الاتصالات HIGH 6h
الثغرات

CVE-2025-14615

مرتفع
The DASHBOARD BUILDER – WordPress plugin for Charts and Graphs plugin for WordPress is vulnerable to Cross-Site Request Forgery in all versions up to, and including, 1.5.7. This is due to missing nonc
CWE-352 — نوع الضعف
نُشر: Jan 14, 2026  ·  آخر تحديث: Feb 28, 2026  ·  المصدر: NVD
CVSS v3
7.1
🔗 NVD الرسمي
📄 الوصف (الإنجليزية)

The DASHBOARD BUILDER – WordPress plugin for Charts and Graphs plugin for WordPress is vulnerable to Cross-Site Request Forgery in all versions up to, and including, 1.5.7. This is due to missing nonce validation on the settings handler in dashboardbuilder-admin.php. This makes it possible for unauthenticated attackers to modify the stored SQL query and database credentials used by the [show-dashboardbuilder] shortcode via a forged request granted they can trick a site administrator into performing an action such as clicking on a link. The modified SQL query is subsequently executed on the front-end when the shortcode is rendered, enabling arbitrary SQL injection and data exfiltration through the publicly visible chart output.

🤖 ملخص AI

The DASHBOARD BUILDER WordPress plugin (versions ≤1.5.7) contains a critical CSRF vulnerability allowing unauthenticated attackers to modify SQL queries and database credentials through forged requests. When an admin is tricked into clicking a malicious link, attackers can inject arbitrary SQL commands that execute on the front-end, leading to unauthorized data exfiltration via publicly visible charts. This vulnerability combines CSRF with SQL injection, creating a severe risk for WordPress sites storing sensitive data.

📄 الوصف (العربية)

🤖 التحليل الذكي آخر تحليل: May 10, 2026 03:33
🇸🇦 التأثير على المملكة العربية السعودية
Saudi organizations using WordPress for business intelligence dashboards face significant risk, particularly in: Banking sector (SAMA-regulated institutions) storing financial data and transaction records; Government agencies (NCA oversight) managing citizen data and administrative information; Healthcare providers (MOH-regulated) handling patient records; Energy sector (ARAMCO, utilities) managing operational metrics; Telecommunications (STC, Mobily) tracking customer and network data. The vulnerability enables attackers to exfiltrate sensitive data through publicly accessible chart outputs, bypassing normal access controls. Saudi organizations relying on WordPress for dashboard analytics are particularly vulnerable if administrators lack security awareness training.
🏢 القطاعات السعودية المتأثرة
Banking & Financial Services Government & Public Administration Healthcare & Medical Services Energy & Utilities Telecommunications E-commerce & Retail Education & Research
⚖️ درجة المخاطر السعودية (AI)
8.2
/ 10.0
🔧 Remediation Steps (English)
IMMEDIATE ACTIONS:

1. Update DASHBOARD BUILDER plugin to version 1.5.8 or later immediately

2. Audit all dashboard shortcodes and verify SQL queries for unauthorized modifications

3. Review database access logs for suspicious query patterns

4. Check chart outputs for unexpected data exposure



PATCHING GUIDANCE:

1. Backup WordPress database and files before updating

2. Update plugin through WordPress admin dashboard or manually upload patched version

3. Test all dashboards post-update to ensure functionality

4. Verify nonce validation is present in updated version



COMPENSATING CONTROLS (if immediate patching delayed):

1. Disable the [show-dashboardbuilder] shortcode on all pages until patched

2. Restrict admin dashboard access to specific IP ranges

3. Implement Web Application Firewall (WAF) rules to block suspicious POST requests to dashboardbuilder-admin.php

4. Require multi-factor authentication for all WordPress administrators

5. Implement Content Security Policy (CSP) headers to prevent CSRF attacks



DETECTION RULES:

1. Monitor POST requests to /wp-admin/admin.php with dashboardbuilder parameters

2. Alert on modifications to dashboard settings without corresponding admin session logs

3. Track changes to SQL queries stored in wp_options table

4. Monitor for unusual database credentials in plugin configuration

5. Log all shortcode rendering with SQL query parameters for audit trail
🔧 خطوات المعالجة (العربية)
الإجراءات الفورية:

1. تحديث مكون DASHBOARD BUILDER إلى الإصدار 1.5.8 أو أحدث فوراً

2. تدقيق جميع اختصارات لوحة المعلومات والتحقق من استعلامات SQL للتعديلات غير المصرح بها

3. مراجعة سجلات الوصول إلى قاعدة البيانات للبحث عن أنماط الاستعلامات المريبة

4. التحقق من مخرجات الرسوم البيانية لتسرب البيانات غير المتوقع



إرشادات التصحيح:

1. عمل نسخة احتياطية من قاعدة بيانات WordPress والملفات قبل التحديث

2. تحديث المكون من خلال لوحة تحكم WordPress أو تحميل الإصدار المصحح يدويًا

3. اختبار جميع لوحات المعلومات بعد التحديث للتأكد من الوظائف

4. التحقق من وجود التحقق من nonce في الإصدار المحدث



الضوابط البديلة (إذا تأخر التصحيح الفوري):

1. تعطيل اختصار [show-dashboardbuilder] على جميع الصفحات حتى يتم التصحيح

2. تقييد الوصول إلى لوحة تحكم WordPress على نطاقات IP محددة

3. تنفيذ قواعد جدار حماية تطبيقات الويب (WAF) لحظر طلبات POST المريبة إلى dashboardbuilder-admin.php

4. طلب المصادقة متعددة العوامل لجميع مسؤولي WordPress

5. تنفيذ رؤوس سياسة أمان المحتوى (CSP) لمنع هجمات CSRF



قواعد الكشف:

1. مراقبة طلبات POST إلى /wp-admin/admin.php مع معاملات dashboardbuilder

2. التنبيه على تعديلات إعدادات لوحة المعلومات بدون سجلات جلسة مسؤول مقابلة

3. تتبع التغييرات على استعلامات SQL المخزنة في جدول wp_options

4. مراقبة بيانات اعتماد قاعدة البيانات غير العادية في تكوين المكون

5. تسجيل جميع عمليات عرض الاختصار مع معاملات استعلام SQL لمسار التدقيق
📋 خريطة الامتثال التنظيمي
🟢 NCA ECC 2024
A.5.1.1 - Information security policies and procedures A.6.1.2 - Access control and authentication mechanisms A.7.1.1 - Event logging and monitoring A.8.2.1 - User access management A.12.4.1 - Event logging requirements
🔵 SAMA CSF
Governance & Risk Management - Security governance and risk assessment Information & Cybersecurity - Data protection and access controls Resilience & Recovery - Incident detection and response Third-Party Risk Management - Vendor security assessment
🟡 ISO 27001:2022
5.3 - Access control 6.5.2 - Secure development policy 8.2.1 - User registration and access rights 8.3.1 - User access provisioning 8.3.2 - Access rights review 8.3.3 - Password management 8.3.4 - Review of user access rights
🟣 PCI DSS v4.0.1
Requirement 6.5.9 - Protection against cross-site request forgery (CSRF) Requirement 6.5.1 - Injection flaws prevention Requirement 8.1 - Assign unique ID to each person with computer access
📊 CVSS Score
7.1
/ 10.0 — مرتفع
📊 CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:L/A:N
Attack VectorN — None / Network
Attack ComplexityL — Low / Local
Privileges RequiredN — None / Network
User InteractionR — Required
ScopeU — Unchanged
ConfidentialityH — High
IntegrityL — Low / Local
AvailabilityN — None / Network
📋 حقائق سريعة
الخطورة مرتفع
CVSS Score7.1
CWECWE-352
EPSS0.01%
اختراق متاح لا
تصحيح متاح ✓ نعم
تاريخ النشر 2026-01-14
المصدر nvd
المشاهدات 7
🇸🇦 درجة المخاطر السعودية
8.2
/ 10.0 — مخاطر السعودية
أولوية: CRITICAL
🏷️ الوسوم
CWE-352
⚡ إجراءات
🔗 NVD Official Page ⚡ Exploit-DB Search 🐙 GitHub PoC Search 🎯 MITRE ATT&CK 📊 CVE Details
مشاركة ثغرة
LinkedIn X / Twitter WhatsApp Telegram

💬 التعليقات

0
جارٍ التحميل
📣 وجدت هذا مفيداً؟
شاركه مع شبكة الأمن السيبراني الخاصة بك
in لينكدإن 𝕏 تويتر 💬 واتساب ✈ تليجرام
🍪 إعدادات الخصوصية
سيزو للاستشارات — متوافق مع نظام حماية البيانات الشخصية السعودي (PDPL)
نستخدم ملفات تعريف الارتباط والتقنيات المشابهة لتوفير أفضل تجربة على منصتنا. يمكنك اختيار الأنواع التي تقبلها.
🔒
ملفات ضرورية Always On
مطلوبة لعمل الموقع بشكل صحيح. لا يمكن تعطيلها.
📋 الجلسات، CSRF، المصادقة، تفضيلات اللغة
📊
ملفات التحليلات
تساعدنا في فهم كيفية استخدام الزوار للموقع وتحسين الأداء.
📋 إحصائيات الصفحات، مدة الجلسة، مصدر الزيارة
⚙️
ملفات وظيفية
تتيح ميزات محسنة مثل تخصيص المحتوى والتفضيلات.
📋 السمة المظلمة/الفاتحة، حجم الخط، لوحات التحكم المخصصة
📣
ملفات تسويقية
تُستخدم لتقديم محتوى وإعلانات ذات صلة باهتماماتك.
📋 تتبع الحملات، إعادة الاستهداف، تحليلات وسائل التواصل
سياسة الخصوصية →
مساعد CISO الذكي
اسألني أي شيء · وثائق · دعم
🔐

عرّفنا بنفسك

أدخل بياناتك للوصول إلى المساعد الكامل

معلوماتك آمنة ولن تُشارك
💬
المساعد السيبراني
متصل — يرد في ثوانٍ
5 / 5
🔐 تحقق من هويتك

أدخل بريدك الإلكتروني لإرسال رمز تحقق قبل إرسال طلب الدعم.

Enter للإرسال · / للأوامر 0 / 2000
CISO AI · مدعوم بالذكاء الاصطناعي
✦ استطلاع سريع ساعدنا في تحسين منصة سيزو للاستشارات ملاحظاتك تشكّل مستقبل منصتنا — لا تستغرق سوى دقيقتين.
⚠ يرجى الإجابة على هذا السؤال للمتابعة

كيف تقيّم تجربتك العامة مع منصتنا؟

قيّم من 1 (ضعيف) إلى 5 (ممتاز)

🎉
شكراً جزيلاً!
تم تسجيل إجابتك بنجاح.