📄 Description (English)
A vulnerability was identified in OFCMS 1.1.3. This issue affects the function Query of the file \ofcms-admin\src\main\java\com\ofsoft\cms\admin\controller\system\SystemDictController.java of the component JSON Query Interface. The manipulation leads to sql injection. The attack can be initiated remotely. The exploit is publicly available and might be used. The project was informed of the problem early through an issue report but has not responded yet.
🤖 AI Executive Summary
CVE-2026-10202 is a SQL injection vulnerability in OFCMS 1.1.3's JSON Query Interface affecting the SystemDictController component. With a CVSS score of 6.3 (medium) and publicly available exploit code, this vulnerability allows remote attackers to execute arbitrary SQL queries. The lack of available patches and unresponsive vendor creates immediate risk for organizations using this CMS platform.
📄 Description (Arabic)
🤖 AI Intelligence Analysis Analyzed: Jun 1, 2026 04:54
🇸🇦 Saudi Arabia Impact Assessment
Saudi organizations using OFCMS 1.1.3 face significant risk, particularly in government digital transformation initiatives, healthcare information systems, and e-commerce platforms. Government agencies (under NCA oversight) and healthcare providers (SEHA-affiliated) are most vulnerable. Banking sector exposure is moderate if OFCMS is used for customer-facing portals. The vulnerability enables unauthorized database access, data exfiltration, and potential system compromise affecting confidentiality and integrity of critical information systems.
🏢 Affected Saudi Sectors
Government
Healthcare
E-commerce
Education
Telecommunications
Media and Publishing
🎯 MITRE ATT&CK Techniques
⚖️ Saudi Risk Score (AI)
7.2
/ 10.0
🔧 Remediation Steps (English)
IMMEDIATE ACTIONS:
1. Inventory all systems running OFCMS 1.1.3 across your organization
2. Isolate affected systems from production networks if possible
3. Implement Web Application Firewall (WAF) rules to block SQL injection patterns in JSON Query Interface requests
4. Enable comprehensive logging and monitoring of database queries
PATCHING GUIDANCE:
1. Contact OFCMS vendor immediately for security patch timeline
2. Evaluate alternative CMS solutions if vendor remains unresponsive
3. If upgrade is available, test thoroughly in staging environment before production deployment
COMPENSATING CONTROLS (until patch available):
1. Implement input validation and parameterized queries at application level
2. Apply principle of least privilege to database accounts used by OFCMS
3. Restrict network access to SystemDictController endpoints using firewall rules
4. Disable JSON Query Interface if not actively used
5. Implement database activity monitoring (DAM) solutions
DETECTION RULES:
1. Monitor for SQL keywords (SELECT, UNION, DROP, INSERT, UPDATE) in JSON query parameters
2. Alert on unusual database connection patterns from OFCMS application user
3. Track failed SQL queries and authentication attempts
4. Monitor for data exfiltration patterns in database logs
🔧 خطوات المعالجة (العربية)
الإجراءات الفورية:
1. قم بحصر جميع الأنظمة التي تعمل بـ OFCMS 1.1.3 في مؤسستك
2. عزل الأنظمة المتأثرة عن شبكات الإنتاج إن أمكن
3. تطبيق قواعد جدار حماية تطبيقات الويب (WAF) لحجب أنماط حقن SQL في طلبات واجهة الاستعلام JSON
4. تفعيل السجلات الشاملة ومراقبة استعلامات قاعدة البيانات
إرشادات التصحيح:
1. اتصل بفوراً ببائع OFCMS للحصول على جدول زمني لتصحيح الأمان
2. قيّم حلول CMS البديلة إذا ظل البائع غير مستجيب
3. إذا كان الترقية متاحة، اختبرها بدقة في بيئة التجريب قبل نشرها في الإنتاج
الضوابط التعويضية (حتى توفر التصحيح):
1. تطبيق التحقق من صحة المدخلات والاستعلامات المعاملة على مستوى التطبيق
2. تطبيق مبدأ أقل امتياز على حسابات قاعدة البيانات المستخدمة من قبل OFCMS
3. تقييد الوصول إلى نقاط نهاية SystemDictController باستخدام قواعد جدار الحماية
4. تعطيل واجهة الاستعلام JSON إذا لم تكن قيد الاستخدام النشط
5. تطبيق حلول مراقبة نشاط قاعدة البيانات (DAM)
قواعد الكشف:
1. مراقبة كلمات SQL الرئيسية (SELECT, UNION, DROP, INSERT, UPDATE) في معاملات استعلام JSON
2. تنبيهات على أنماط اتصال قاعدة البيانات غير العادية من مستخدم تطبيق OFCMS
3. تتبع استعلامات SQL الفاشلة ومحاولات المصادقة
4. مراقبة أنماط تسرب البيانات في سجلات قاعدة البيانات
📋 Regulatory Compliance Mapping
🟢 NCA ECC 2024
ECC 2024 A.14.2.1 - Secure development policy and procedures
ECC 2024 A.14.2.5 - Secure development environment
ECC 2024 A.14.3.1 - Testing of security functionality
ECC 2024 A.13.1.3 - Segregation of networks
ECC 2024 A.12.4.1 - Event logging
🔵 SAMA CSF
SAMA CSF ID.BE-3 - Organizational resilience
SAMA CSF PR.AC-1 - Access control policy
SAMA CSF PR.DS-2 - Data security
SAMA CSF DE.AE-1 - Abnormalities and events detection
SAMA CSF RS.MI-2 - Incident response procedures
🟡 ISO 27001:2022
ISO 27001:2022 A.5.23 - Information security for supplier relationships
ISO 27001:2022 A.8.22 - Monitoring activities
ISO 27001:2022 A.8.23 - Administrator and operator logs
ISO 27001:2022 A.14.2.1 - Secure development policy
ISO 27001:2022 A.14.3.1 - Security testing
🟣 PCI DSS v4.0.1
PCI DSS 6.5.1 - Injection flaws prevention
PCI DSS 6.2 - Security patches installation
PCI DSS 10.2 - User access logging
PCI DSS 11.3 - Penetration testing