📧 info@ciso.sa | 📱 +966550939344 | الرياض، المملكة العربية السعودية
عن المنصة الأسئلة الشائعة اتصل بنا شروط الخدمة سياسة الخصوصية 🌐 English
🔐

مرحباً — سجّل دخولك أو أنشئ حساباً للوصول الكامل.

🔑 دخول ✨ حساب جديد
🌐 EN تسجيل الدخول إنشاء حساب
🔧 صيانة مجدولة — السبت 2:00-4:00 صباحاً. قد تكون بعض الميزات غير متاحة مؤقتاً.    ●   
💎
خطة Pro بخصم 50% احصل على جميع ميزات AI والتقارير غير المحدودة والدعم ذي الأولوية. الترقية الآن
مركز البحث
ESC للإغلاق
تنقل فتح Ctrl+K بحث
CISO Consulting
Global general قطاع التكنولوجيا والذكاء الاصطناعي MEDIUM 1h Global general قطاع التكنولوجيا والذكاء الاصطناعي HIGH 2h Global vulnerability التعليم العالي CRITICAL 11h Global data_breach القطاع الحكومي HIGH 12h Global supply_chain تطوير البرمجيات والمجتمعات مفتوحة المصدر CRITICAL 12h Global malware تطوير البرمجيات CRITICAL 12h Global phishing قطاعات متعددة HIGH 13h Global vulnerability تطبيقات الويب CRITICAL 13h Global apt البنية التحتية الحرجة CRITICAL 13h Global ransomware قطاعات متعددة CRITICAL 14h Global general قطاع التكنولوجيا والذكاء الاصطناعي MEDIUM 1h Global general قطاع التكنولوجيا والذكاء الاصطناعي HIGH 2h Global vulnerability التعليم العالي CRITICAL 11h Global data_breach القطاع الحكومي HIGH 12h Global supply_chain تطوير البرمجيات والمجتمعات مفتوحة المصدر CRITICAL 12h Global malware تطوير البرمجيات CRITICAL 12h Global phishing قطاعات متعددة HIGH 13h Global vulnerability تطبيقات الويب CRITICAL 13h Global apt البنية التحتية الحرجة CRITICAL 13h Global ransomware قطاعات متعددة CRITICAL 14h Global general قطاع التكنولوجيا والذكاء الاصطناعي MEDIUM 1h Global general قطاع التكنولوجيا والذكاء الاصطناعي HIGH 2h Global vulnerability التعليم العالي CRITICAL 11h Global data_breach القطاع الحكومي HIGH 12h Global supply_chain تطوير البرمجيات والمجتمعات مفتوحة المصدر CRITICAL 12h Global malware تطوير البرمجيات CRITICAL 12h Global phishing قطاعات متعددة HIGH 13h Global vulnerability تطبيقات الويب CRITICAL 13h Global apt البنية التحتية الحرجة CRITICAL 13h Global ransomware قطاعات متعددة CRITICAL 14h
الثغرات

CVE-2025-3646

مرتفع
ثغرة تجاوز التفويض في منصة Petlibro للمغذيات الذكية للحيوانات الأليفة
CWE-306 — نوع الضعف
نُشر: Jan 4, 2026  ·  آخر تحديث: Feb 28, 2026  ·  المصدر: NVD
CVSS v3
7.3
🔗 NVD الرسمي
📄 الوصف (الإنجليزية)

Petlibro Smart Pet Feeder Platform versions up to 1.7.31 contains an authorization bypass vulnerability that allows unauthorized users to add users as shared owners to any device by exploiting missing permission checks. Attackers can send requests to the device share API to gain unauthorized access to devices and view owner information without proper authorization validation.

🤖 ملخص AI

Petlibro Smart Pet Feeder Platform versions up to 1.7.31 contain an authorization bypass vulnerability (CVE-2025-3646) allowing attackers to add themselves as shared owners to any device without proper permission validation. This high-severity flaw (CVSS 7.3) enables unauthorized access to pet monitoring devices and exposure of owner information. While no public exploit exists, the vulnerability poses significant risk to Saudi households and organizations using IoT pet management systems, particularly those integrating with smart home ecosystems.

📄 الوصف (العربية)

🤖 التحليل الذكي آخر تحليل: May 5, 2026 09:50
🇸🇦 التأثير على المملكة العربية السعودية
Primary impact on Saudi residential and commercial sectors: (1) Residential IoT - Saudi households using Petlibro devices for pet monitoring face unauthorized access to real-time pet location and health data; (2) Veterinary clinics and pet care facilities in major Saudi cities (Riyadh, Jeddah, Dammam) managing multiple devices could experience mass unauthorized access; (3) Smart home integrations with Saudi telecom providers (STC, Mobily) may propagate lateral movement to connected home networks; (4) Privacy concerns for high-net-worth individuals and diplomatic staff using pet monitoring for security purposes; (5) Potential data harvesting of owner information (names, addresses, phone numbers) for targeted social engineering attacks against Saudi nationals.
🏢 القطاعات السعودية المتأثرة
Residential IoT/Smart Homes Veterinary Services & Pet Care Facilities Telecom/ISP (STC, Mobily, Zain smart home integrations) Hospitality (pet-friendly hotels, resorts) Private Security (high-net-worth individual protection) Diplomatic Missions (pet monitoring for security) Animal Welfare Organizations
⚖️ درجة المخاطر السعودية (AI)
6.8
/ 10.0
🔧 Remediation Steps (English)
IMMEDIATE ACTIONS:

1. Identify all Petlibro Smart Pet Feeder devices in your organization/network using asset inventory tools

2. Isolate affected devices from critical networks if possible; restrict API access to trusted networks only

3. Review device sharing logs and access history for unauthorized additions of shared owners

4. Change all device ownership credentials and revoke any suspicious shared access permissions



PATCHING GUIDANCE:

1. Update Petlibro platform to version 1.7.32 or later immediately

2. Verify patch deployment across all instances (mobile apps, web portal, firmware)

3. Test functionality post-patch to ensure no regression



COMPENSATING CONTROLS (if patch unavailable temporarily):

1. Implement network segmentation - isolate Petlibro devices on separate VLAN

2. Deploy WAF rules to block unauthorized device share API requests

3. Enable API rate limiting on device sharing endpoints

4. Implement strict IP whitelisting for device management access

5. Monitor and log all device sharing API calls for forensic analysis



DETECTION RULES:

1. Alert on multiple failed authorization attempts to device share endpoints

2. Flag requests adding new shared owners from unusual geographic locations

3. Monitor for API calls modifying device permissions outside normal business hours

4. Detect rapid sequential requests to share API from single source IP

5. Log all changes to device ownership and sharing configurations
🔧 خطوات المعالجة (العربية)
الإجراءات الفورية:

1. تحديد جميع أجهزة Petlibro Smart Pet Feeder في مؤسستك باستخدام أدوات جرد الأصول

2. عزل الأجهزة المتأثرة عن الشبكات الحرجة؛ تقييد وصول API للشبكات الموثوقة فقط

3. مراجعة سجلات مشاركة الأجهزة والوصول للكشف عن إضافات مالكين مشاركين غير مصرح بهم

4. تغيير بيانات اعتماد ملكية جميع الأجهزة وإلغاء أي أذونات وصول مشبوهة



إرشادات التصحيح:

1. تحديث منصة Petlibro إلى الإصدار 1.7.32 أو أحدث فوراً

2. التحقق من نشر التصحيح عبر جميع الحالات (تطبيقات الهاتف، بوابة الويب، البرامج الثابتة)

3. اختبار الوظائف بعد التصحيح للتأكد من عدم وجود انحدار



الضوابط البديلة (إذا لم يكن التصحيح متاحاً مؤقتاً):

1. تنفيذ تقسيم الشبكة - عزل أجهزة Petlibro على VLAN منفصل

2. نشر قواعد WAF لحظر طلبات API مشاركة الأجهزة غير المصرح بها

3. تفعيل تحديد معدل API على نقاط نهاية مشاركة الأجهزة

4. تنفيذ قائمة بيضاء صارمة للعناوين لوصول إدارة الأجهزة

5. مراقبة وتسجيل جميع استدعاءات API لمشاركة الأجهزة للتحليل الجنائي



قواعد الكشف:

1. تنبيه محاولات فشل التفويض المتعددة لنقاط نهاية مشاركة الأجهزة

2. وضع علامة على الطلبات التي تضيف مالكين مشاركين جدد من مواقع جغرافية غير عادية

3. مراقبة استدعاءات API التي تعدل أذونات الأجهزة خارج ساعات العمل العادية

4. الكشف عن طلبات متسلسلة سريعة لـ API المشاركة من عنوان IP واحد

5. تسجيل جميع التغييرات على ملكية الأجهزة وتكوينات المشاركة
📋 خريطة الامتثال التنظيمي
🟢 NCA ECC 2024
ECC 2024 - 5.1.1: Access Control - Authorization mechanisms must validate user permissions before granting access ECC 2024 - 5.1.2: User Access Management - Proper authentication and authorization for all system functions ECC 2024 - 5.2.1: Information Security Policies - Device access control policies must be enforced ECC 2024 - 6.1.1: Vulnerability Management - Timely patching of authorization flaws
🔵 SAMA CSF
SAMA CSF - Governance & Risk Management: Authorization bypass represents control failure in access governance SAMA CSF - Information Security: Inadequate access controls violate information protection requirements SAMA CSF - Operational Resilience: Unauthorized device access impacts system integrity and availability
🟡 ISO 27001:2022
ISO 27001:2022 - A.5.2: User access provisioning - Proper authorization validation required ISO 27001:2022 - A.5.3: Access rights review - Regular review of device sharing permissions ISO 27001:2022 - A.8.2: Information classification - Owner information requires protection from unauthorized access ISO 27001:2022 - A.12.6.1: Management of technical vulnerabilities - Timely patching of authorization flaws
🟣 PCI DSS v4.0.1
Not directly applicable - Petlibro is consumer IoT device, not payment system. However, if integrated with payment-enabled smart home systems: PCI DSS 6.2 (security patches) and 7.1 (access control) would apply
📦 المنتجات المتأثرة 1 منتج
petlibro:petlibro
📊 CVSS Score
7.3
/ 10.0 — مرتفع
📊 CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:L/A:L
Attack VectorN — None / Network
Attack ComplexityL — Low / Local
Privileges RequiredN — None / Network
User InteractionN — None / Network
ScopeU — Unchanged
ConfidentialityL — Low / Local
IntegrityL — Low / Local
AvailabilityL — Low / Local
📋 حقائق سريعة
الخطورة مرتفع
CVSS Score7.3
CWECWE-306
EPSS0.05%
اختراق متاح لا
تصحيح متاح ✓ نعم
تاريخ النشر 2026-01-04
المصدر nvd
المشاهدات 7
🇸🇦 درجة المخاطر السعودية
6.8
/ 10.0 — مخاطر السعودية
أولوية: HIGH
🏷️ الوسوم
CWE-306
⚡ إجراءات
🔗 NVD Official Page ⚡ Exploit-DB Search 🐙 GitHub PoC Search 🎯 MITRE ATT&CK 📊 CVE Details
مشاركة ثغرة
LinkedIn X / Twitter WhatsApp Telegram

💬 التعليقات

0
جارٍ التحميل
📣 وجدت هذا مفيداً؟
شاركه مع شبكة الأمن السيبراني الخاصة بك
in لينكدإن 𝕏 تويتر 💬 واتساب ✈ تليجرام
🍪 إعدادات الخصوصية
سيزو للاستشارات — متوافق مع نظام حماية البيانات الشخصية السعودي (PDPL)
نستخدم ملفات تعريف الارتباط والتقنيات المشابهة لتوفير أفضل تجربة على منصتنا. يمكنك اختيار الأنواع التي تقبلها.
🔒
ملفات ضرورية Always On
مطلوبة لعمل الموقع بشكل صحيح. لا يمكن تعطيلها.
📋 الجلسات، CSRF، المصادقة، تفضيلات اللغة
📊
ملفات التحليلات
تساعدنا في فهم كيفية استخدام الزوار للموقع وتحسين الأداء.
📋 إحصائيات الصفحات، مدة الجلسة، مصدر الزيارة
⚙️
ملفات وظيفية
تتيح ميزات محسنة مثل تخصيص المحتوى والتفضيلات.
📋 السمة المظلمة/الفاتحة، حجم الخط، لوحات التحكم المخصصة
📣
ملفات تسويقية
تُستخدم لتقديم محتوى وإعلانات ذات صلة باهتماماتك.
📋 تتبع الحملات، إعادة الاستهداف، تحليلات وسائل التواصل
سياسة الخصوصية →
مساعد CISO الذكي
اسألني أي شيء · وثائق · دعم
🔐

عرّفنا بنفسك

أدخل بياناتك للوصول إلى المساعد الكامل

معلوماتك آمنة ولن تُشارك
💬
المساعد السيبراني
متصل — يرد في ثوانٍ
5 / 5
🔐 تحقق من هويتك

أدخل بريدك الإلكتروني لإرسال رمز تحقق قبل إرسال طلب الدعم.

Enter للإرسال · / للأوامر 0 / 2000
CISO AI · مدعوم بالذكاء الاصطناعي
✦ استطلاع سريع ساعدنا في تحسين منصة سيزو للاستشارات ملاحظاتك تشكّل مستقبل منصتنا — لا تستغرق سوى دقيقتين.
⚠ يرجى الإجابة على هذا السؤال للمتابعة

كيف تقيّم تجربتك العامة مع منصتنا؟

قيّم من 1 (ضعيف) إلى 5 (ممتاز)

🎉
شكراً جزيلاً!
تم تسجيل إجابتك بنجاح.