الثغرات ›

CVE-2025-15240

مرتفع

ثغرة رفع ملفات تعسفية في منصة QOCA aim السحابية الطبية بالذكاء الاصطناعي

CWE-434 — نوع الضعف

                    نُشر: Jan 5, 2026                      ·  آخر تحديث: Feb 28, 2026                      ·  المصدر: NVD                

CVSS v3

8.8

🔗 NVD الرسمي

📄 الوصف (الإنجليزية)

QOCA aim AI Medical Cloud Platform developed by Quanta Computer has an Arbitrary File Upload vulnerability, allowing authenticated remote attackers to upload and execute web shell backdoors, thereby enabling arbitrary code execution on the server.

🤖 ملخص AI

QOCA AI Medical Cloud Platform by Quanta Computer contains an arbitrary file upload vulnerability allowing authenticated attackers to upload malicious web shells and execute arbitrary code. This vulnerability poses significant risk to healthcare organizations storing sensitive patient data on affected systems.

📄 الوصف (العربية)

تحتوي منصة QOCA AI الطبية السحابية من Quanta Computer على ثغرة في التحقق من تحميل الملفات تسمح للمستخدمين المصرحين بتحميل ملفات تعسفية بما في ذلك أصداف الويب الضارة. يمكن للمهاجمين استغلال هذه الثغرة لتنفيذ أكواد تعسفية على الخادم والحصول على تحكم كامل بالنظام وبيانات المرضى.

🤖 ملخص تنفيذي (AI)

منصة QOCA AI الطبية السحابية من Quanta Computer تحتوي على ثغرة تحميل ملفات تعسفية تسمح للمهاجمين المصرحين بتحميل أصداف ويب ضارة وتنفيذ أكواد تعسفية. تشكل هذه الثغرة خطراً كبيراً على المنظمات الصحية التي تخزن بيانات المرضى الحساسة على الأنظمة المتأثرة.

🤖 التحليل الذكي آخر تحليل: May 1, 2026 10:16

🇸🇦 التأثير على المملكة العربية السعودية

Saudi Relevance: high

🏢 القطاعات السعودية المتأثرة

healthcare government

🎯 تقنيات MITRE ATT&CK

T1190 T1505 T1505.003 T1190

⚖️ درجة المخاطر السعودية (AI)

9.0

/ 10.0

🔧 Remediation Steps (English)

Update QOCA AI Medical Cloud Platform to the latest patched version immediately. Implement strict file upload validation including file type whitelisting, size restrictions, and server-side verification. Disable file execution in upload directories using web server configuration. Conduct security audit of all uploaded files and monitor for suspicious web shells. Restrict file upload functionality to authorized users only and implement comprehensive logging.

🔧 خطوات المعالجة (العربية)

قم بتحديث منصة QOCA AI الطبية السحابية إلى أحدث إصدار مصحح فوراً. طبق التحقق الصارم من تحميل الملفات بما في ذلك قائمة بيضاء لأنواع الملفات وقيود الحجم والتحقق من جانب الخادم. عطل تنفيذ الملفات في مجلدات التحميل باستخدام إعدادات خادم الويب. أجرِ تدقيق أمني لجميع الملفات المحملة وراقب الأصداف المريبة. قيد وظيفة تحميل الملفات للمستخدمين المصرحين فقط وطبق تسجيل شامل.

📋 خريطة الامتثال التنظيمي

🟢 NCA ECC 2024

A.7.1.1 A.7.1.2 A.12.2.1 A.12.4.1

🔵 SAMA CSF

ID.AM-2 PR.AC-1 PR.AC-3 PR.DS-1 DE.CM-1

🟡 ISO 27001:2022

A.6.1.1 A.7.1.1 A.7.1.2 A.7.3.1 A.12.2.1 A.12.4.1 A.14.2.1

🔗 المراجع والمصادر 2

🔗

https://www.twcert.org.tw/en/cp-139-10616-cd942-2.html

twcert@cert.org.tw

Third Party Advisory

🔗

https://www.twcert.org.tw/tw/cp-132-10615-157a3-1.html

twcert@cert.org.tw

Third Party Advisory

📦 المنتجات المتأثرة 1 منتج

quantatw:qoca_aim

📊 CVSS Score

8.8

/ 10.0 — مرتفع

📊 CVSS Vector

CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H

Attack VectorN — None / Network

Attack ComplexityL — Low / Local

Privileges RequiredL — Low / Local

User InteractionN — None / Network

ScopeU — Unchanged

ConfidentialityH — High

IntegrityH — High

AvailabilityH — High

📋 حقائق سريعة

الخطورة مرتفع

CVSS Score8.8

CWECWE-434

EPSS0.28%

اختراق متاح لا

تصحيح متاح ✓ نعم

تاريخ النشر 2026-01-05

المصدر nvd

المشاهدات 7

🇸🇦 درجة المخاطر السعودية

9.0

/ 10.0 — مخاطر السعودية

أولوية: CRITICAL

🏷️ الوسوم

CWE-434

⚡ إجراءات

🔗 NVD Official Page ⚡ Exploit-DB Search 🐙 GitHub PoC Search 🎯 MITRE ATT&CK 📊 CVE Details

💬 التعليقات

جارٍ التحميل

CVE-2025-15240

💬 التعليقات

عرّفنا بنفسك

تسجيل الدخول مطلوب