الثغرات ›

CVE-2025-15456

مرتفع ⚡ اختراق متاح

ثغرة تجاوز المصادقة في محرر الصفحات لنظام MiniCMS (CVE-2025-15456)

CWE-287 — نوع الضعف

                    نُشر: Jan 5, 2026                      ·  آخر تحديث: Feb 28, 2026                      ·  المصدر: NVD                

CVSS v3

7.3

🔗 NVD الرسمي

📄 الوصف (الإنجليزية)

A vulnerability has been found in bg5sbk MiniCMS up to 1.8. The affected element is an unknown function of the file /mc-admin/page-edit.php of the component Publish Page Handler. Such manipulation leads to improper authentication. The attack may be performed from remote. The exploit has been disclosed to the public and may be used. The existence of this vulnerability is still disputed at present. The vendor was contacted early about this disclosure but did not respond in any way.

🤖 ملخص AI

A critical authentication bypass vulnerability (CWE-287) has been identified in bg5sbk MiniCMS versions up to 1.8, specifically in the /mc-admin/page-edit.php file of the Publish Page Handler component. The vulnerability allows remote attackers to bypass authentication mechanisms, with a CVSS score of 7.3 (High). Public exploits are available, and the vendor has not responded to disclosure attempts.

📄 الوصف (العربية)

تؤثر هذه الثغرة الأمنية على نظام إدارة المحتوى MiniCMS في الإصدارات حتى 1.8، حيث توجد نقطة ضعف في آلية المصادقة ضمن معالج تحرير ونشر الصفحات الإدارية. يمكن للمهاجمين استغلال هذه الثغرة عن بُعد للوصول غير المصرح به إلى وظائف إدارية حساسة دون الحاجة لبيانات اعتماد صحيحة. تكمن خطورة الثغرة في توفر استغلالات عامة وعدم استجابة المورّد لإصدار تصحيحات أمنية، مما يترك الأنظمة المتأثرة عرضة للاختراق. تتطلب الثغرة اهتماماً فورياً من المؤسسات التي تستخدم هذا النظام لحماية بياناتها وأصولها الرقمية.

🤖 ملخص تنفيذي (AI)

تم اكتشاف ثغرة حرجة في تجاوز المصادقة (CWE-287) في نظام bg5sbk MiniCMS حتى الإصدار 1.8، تحديداً في ملف /mc-admin/page-edit.php ضمن مكون معالج نشر الصفحات. تسمح الثغرة للمهاجمين عن بُعد بتجاوز آليات المصادقة، بدرجة خطورة CVSS 7.3 (عالية). تتوفر استغلالات عامة للثغرة، ولم يستجب المورّد لمحاولات الإفصاح.

🤖 التحليل الذكي آخر تحليل: Feb 28, 2026 07:23

🇸🇦 التأثير على المملكة العربية السعودية

Saudi organizations using MiniCMS for content management face significant risk of unauthorized administrative access and potential data breaches. Given the availability of public exploits and lack of vendor patches, affected systems are highly vulnerable to immediate exploitation, particularly impacting government portals, educational institutions, and SMEs using this CMS platform.

🏢 القطاعات السعودية المتأثرة

القطاع الحكومي التعليم العالي والجامعات الشركات الصغيرة والمتوسطة المؤسسات الإعلامية والنشر الرقمي القطاع الخاص - خدمات الويب المنظمات غير الربحية

🎯 تقنيات MITRE ATT&CK

T1078 T1190 T1133 T1212 T1550

⚖️ درجة المخاطر السعودية (AI)

8.0

/ 10.0

🔧 Remediation Steps (English)

1. Immediately isolate or disable all MiniCMS installations (versions ≤1.8) from public internet access and implement network segmentation with strict firewall rules allowing only authorized IP addresses to access administrative interfaces

2. Deploy Web Application Firewall (WAF) rules to block suspicious requests targeting /mc-admin/page-edit.php and implement multi-factor authentication (MFA) at the network perimeter level for all administrative access attempts

3. Migrate to actively maintained and secure CMS alternatives (WordPress, Joomla, Drupal) with proper security support, or implement custom authentication wrapper with strong session management and input validation until migration is complete

🔧 خطوات المعالجة (العربية)

1. عزل أو تعطيل جميع تثبيتات MiniCMS (الإصدارات ≤1.8) فوراً عن الوصول العام للإنترنت وتطبيق تجزئة الشبكة مع قواعد جدار حماية صارمة تسمح فقط لعناوين IP المصرح بها بالوصول إلى الواجهات الإدارية

2. نشر قواعد جدار حماية تطبيقات الويب (WAF) لحظر الطلبات المشبوهة المستهدفة لملف /mc-admin/page-edit.php وتطبيق المصادقة متعددة العوامل (MFA) على مستوى محيط الشبكة لجميع محاولات الوصول الإداري

3. الانتقال إلى بدائل أنظمة إدارة محتوى مدعومة وآمنة (WordPress أو Joomla أو Drupal) مع دعم أمني مناسب، أو تطبيق غلاف مصادقة مخصص مع إدارة جلسات قوية والتحقق من المدخلات حتى اكتمال الترحيل

📋 خريطة الامتثال التنظيمي

🟢 NCA ECC 2024

ECC-1-2 (Access Control) ECC-1-3 (Authentication Management) ECC-2-1 (Vulnerability Management) ECC-3-1 (Security Monitoring) ECC-5-1 (Patch Management)

🔵 SAMA CSF

CCC-1.1 (Asset Management) CCC-2.1 (Access Control) CCC-2.2 (Authentication Mechanisms) CCC-4.1 (Vulnerability Assessment) CCC-6.1 (Security Monitoring)

🟡 ISO 27001:2022

A.9.1.1 (Access Control Policy) A.9.2.1 (User Registration) A.9.4.1 (Information Access Restriction) A.12.6.1 (Technical Vulnerability Management) A.18.2.3 (Technical Compliance Review)

🔗 المراجع والمصادر 4

🔗

https://github.com/ueh1013/VULN/issues/13

cna@vuldb.com

Exploit Issue Tracking Third Party Advisory

🔗

https://vuldb.com/?ctiid.339489

cna@vuldb.com

Permissions Required VDB Entry

🔗

https://vuldb.com/?id.339489

cna@vuldb.com

Third Party Advisory VDB Entry

🔗

https://vuldb.com/?submit.725138

cna@vuldb.com

Third Party Advisory VDB Entry

📦 المنتجات المتأثرة 1 منتج

1234n:minicms

📊 CVSS Score

7.3

/ 10.0 — مرتفع

📊 CVSS Vector

CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:L/A:L

Attack VectorN — None / Network

Attack ComplexityL — Low / Local

Privileges RequiredN — None / Network

User InteractionN — None / Network

ScopeU — Unchanged

ConfidentialityL — Low / Local

IntegrityL — Low / Local

AvailabilityL — Low / Local

📋 حقائق سريعة

الخطورة مرتفع

CVSS Score7.3

CWECWE-287

EPSS0.24%

اختراق متاح ✓ نعم

تصحيح متاح ✓ نعم

تاريخ النشر 2026-01-05

المصدر nvd

المشاهدات 4

🇸🇦 درجة المخاطر السعودية

8.0

/ 10.0 — مخاطر السعودية

أولوية: HIGH

🏷️ الوسوم

exploit-available CWE-287

⚡ إجراءات

🔗 NVD Official Page ⚡ Exploit-DB Search 🐙 GitHub PoC Search 🎯 MITRE ATT&CK 📊 CVE Details

CVE-2025-15456

عرّفنا بنفسك

تسجيل الدخول مطلوب