📧 info@ciso.sa | 📱 +966550939344 | الرياض، المملكة العربية السعودية
عن المنصة الأسئلة الشائعة اتصل بنا شروط الخدمة سياسة الخصوصية 🌐 English
🔐

مرحباً — سجّل دخولك أو أنشئ حساباً للوصول الكامل.

🔑 دخول ✨ حساب جديد
🌐 EN تسجيل الدخول إنشاء حساب
🔧 صيانة مجدولة — السبت 2:00-4:00 صباحاً. قد تكون بعض الميزات غير متاحة مؤقتاً.    ●   
💎
خطة Pro بخصم 50% احصل على جميع ميزات AI والتقارير غير المحدودة والدعم ذي الأولوية. الترقية الآن
مركز البحث
ESC للإغلاق
تنقل فتح Ctrl+K بحث
CISO Consulting
Global vulnerability قطاع التكنولوجيا وتطوير البرمجيات HIGH 1h Global vulnerability الحكومة والوكالات الفيدرالية CRITICAL 1h Global supply_chain تطوير البرمجيات والنظم البيئية مفتوحة المصدر HIGH 2h Global vulnerability برامج المؤسسات/البرامج كخدمة MEDIUM 2h Global supply_chain تطوير البرمجيات HIGH 2h Global general التأمين/إدارة المخاطر HIGH 2h Global data_breach برامج المؤسسات / تكنولوجيا المعلومات CRITICAL 3h Global vulnerability التكنولوجيا/البرمجيات CRITICAL 5h Global malware وسائل التواصل الاجتماعي وتكنولوجيا المستهلك HIGH 6h Global botnet تكنولوجيا المعلومات وإنترنت الأشياء HIGH 6h Global vulnerability قطاع التكنولوجيا وتطوير البرمجيات HIGH 1h Global vulnerability الحكومة والوكالات الفيدرالية CRITICAL 1h Global supply_chain تطوير البرمجيات والنظم البيئية مفتوحة المصدر HIGH 2h Global vulnerability برامج المؤسسات/البرامج كخدمة MEDIUM 2h Global supply_chain تطوير البرمجيات HIGH 2h Global general التأمين/إدارة المخاطر HIGH 2h Global data_breach برامج المؤسسات / تكنولوجيا المعلومات CRITICAL 3h Global vulnerability التكنولوجيا/البرمجيات CRITICAL 5h Global malware وسائل التواصل الاجتماعي وتكنولوجيا المستهلك HIGH 6h Global botnet تكنولوجيا المعلومات وإنترنت الأشياء HIGH 6h Global vulnerability قطاع التكنولوجيا وتطوير البرمجيات HIGH 1h Global vulnerability الحكومة والوكالات الفيدرالية CRITICAL 1h Global supply_chain تطوير البرمجيات والنظم البيئية مفتوحة المصدر HIGH 2h Global vulnerability برامج المؤسسات/البرامج كخدمة MEDIUM 2h Global supply_chain تطوير البرمجيات HIGH 2h Global general التأمين/إدارة المخاطر HIGH 2h Global data_breach برامج المؤسسات / تكنولوجيا المعلومات CRITICAL 3h Global vulnerability التكنولوجيا/البرمجيات CRITICAL 5h Global malware وسائل التواصل الاجتماعي وتكنولوجيا المستهلك HIGH 6h Global botnet تكنولوجيا المعلومات وإنترنت الأشياء HIGH 6h
الثغرات

CVE-2026-10209

متوسط
CWE-74 — نوع الضعف
نُشر: Jun 1, 2026  ·  آخر تحديث: Jun 4, 2026  ·  المصدر: NVD
CVSS v3
6.3
🔗 NVD الرسمي
📄 الوصف (الإنجليزية)

A vulnerability has been found in code-projects Online Hospital Management System 1.0. Affected is an unknown function of the file appointmentdetail.php of the component Appointment Handler. The manipulation of the argument editid leads to sql injection. The attack is possible to be carried out remotely. The exploit has been disclosed to the public and may be used.

🤖 ملخص AI

CVE-2026-10209 is a SQL injection vulnerability in Online Hospital Management System 1.0 affecting the appointmentdetail.php file through the editid parameter. With a CVSS score of 6.3 (medium) and publicly disclosed exploit details, this poses a significant risk to healthcare organizations in Saudi Arabia. No patch is currently available, requiring immediate compensating controls and input validation hardening.

📄 الوصف (العربية)

🤖 التحليل الذكي آخر تحليل: Jun 1, 2026 06:32
🇸🇦 التأثير على المملكة العربية السعودية
Healthcare sector organizations in Saudi Arabia using Online Hospital Management System 1.0 are at direct risk, including private hospitals, clinics, and health information systems. The vulnerability could allow attackers to extract sensitive patient data (PHI), modify appointment records, or compromise system integrity. Government health entities under MOH and private healthcare providers regulated by SFDA are particularly vulnerable. The SQL injection could lead to unauthorized access to patient medical records, appointment manipulation, and potential system compromise affecting patient care continuity.
🏢 القطاعات السعودية المتأثرة
Healthcare Government Health Services Private Hospitals and Clinics Telemedicine Providers Health Information Systems
⚖️ درجة المخاطر السعودية (AI)
7.2
/ 10.0
🔧 Remediation Steps (English)
IMMEDIATE ACTIONS:

1. Disable or restrict access to appointmentdetail.php until patching is available

2. Implement Web Application Firewall (WAF) rules to block SQL injection patterns in editid parameter

3. Apply input validation: whitelist numeric-only values for editid parameter, reject special characters (', ", --, ;, /**/)

4. Enable SQL error suppression to prevent information disclosure

5. Implement parameterized queries/prepared statements in the application code



COMPENSATING CONTROLS:

6. Deploy database activity monitoring (DAM) to detect anomalous SQL queries

7. Implement least privilege database accounts with read-only access where possible

8. Enable database audit logging for all queries against patient data tables

9. Restrict network access to appointmentdetail.php to authorized users only via IP whitelisting

10. Apply rate limiting to appointment detail requests



DETECTION RULES:

- Monitor for SQL keywords in editid parameter (UNION, SELECT, INSERT, DROP, etc.)

- Alert on multiple failed SQL syntax errors from single source

- Track unusual database query patterns or access to sensitive tables

- Log all modifications to appointment records with source IP and user ID
🔧 خطوات المعالجة (العربية)
الإجراءات الفورية:

1. تعطيل أو تقييد الوصول إلى appointmentdetail.php حتى يتوفر التصحيح

2. تطبيق قواعد جدار حماية تطبيقات الويب (WAF) لحجب أنماط حقن SQL في معامل editid

3. تطبيق التحقق من صحة المدخلات: قائمة بيضاء للقيم الرقمية فقط لمعامل editid، رفض الأحرف الخاصة

4. تفعيل قمع أخطاء SQL لمنع الكشف عن المعلومات

5. تطبيق الاستعلامات المعاملة/البيانات المحضرة في كود التطبيق



الضوابط التعويضية:

6. نشر مراقبة نشاط قاعدة البيانات (DAM) للكشف عن استعلامات SQL الشاذة

7. تطبيق مبدأ أقل امتياز لحسابات قاعدة البيانات مع وصول القراءة فقط حيث أمكن

8. تفعيل تسجيل تدقيق قاعدة البيانات لجميع الاستعلامات ضد جداول بيانات المريض

9. تقييد الوصول إلى الشبكة إلى appointmentdetail.php للمستخدمين المصرح لهم فقط عبر قائمة بيضاء IP

10. تطبيق تحديد معدل الطلبات لتفاصيل المواعيد



قواعد الكشف:

- مراقبة كلمات SQL الرئيسية في معامل editid

- تنبيهات على أخطاء بناء جملة SQL المتعددة من مصدر واحد

- تتبع أنماط استعلامات قاعدة البيانات غير العادية

- تسجيل جميع التعديلات على سجلات المواعيد
📋 خريطة الامتثال التنظيمي
🟢 NCA ECC 2024
ECC 2024 A.14.2.1 - Information security requirements analysis and specification ECC 2024 A.14.2.5 - Secure development environment ECC 2024 A.14.2.6 - Secure development policy and procedures ECC 2024 A.14.3.1 - Separation of development, test and production environments
🔵 SAMA CSF
ID.GV-1 - Organizational cybersecurity policy is established and communicated PR.DS-6 - Integrity checking mechanisms are used to verify software, firmware, and information PR.IP-1 - System development life cycle is managed DE.CM-1 - The network is monitored to detect potential cybersecurity events
🟡 ISO 27001:2022
A.8.2.3 - Segregation of duties A.14.2.1 - Information security requirements A.14.2.5 - Secure development environment A.14.3.1 - Separation of development, test and production environments A.12.6.1 - Management of technical vulnerabilities
🟣 PCI DSS v4.0.1
Requirement 6.5.1 - Injection flaws Requirement 6.2 - Security patches and updates Requirement 10.2 - Automated audit trails
📊 CVSS Score
6.3
/ 10.0 — متوسط
📊 CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:L/A:L
Attack VectorN — None / Network
Attack ComplexityL — Low / Local
Privileges RequiredL — Low / Local
User InteractionN — None / Network
ScopeU — Unchanged
ConfidentialityL — Low / Local
IntegrityL — Low / Local
AvailabilityL — Low / Local
📋 حقائق سريعة
الخطورة متوسط
CVSS Score6.3
CWECWE-74
EPSS0.03%
اختراق متاح لا
تصحيح متاح ✗ لا
تاريخ النشر 2026-06-01
المصدر nvd
المشاهدات 2
🇸🇦 درجة المخاطر السعودية
7.2
/ 10.0 — مخاطر السعودية
أولوية: HIGH
🏷️ الوسوم
CWE-74
⚡ إجراءات
🔗 NVD Official Page ⚡ Exploit-DB Search 🐙 GitHub PoC Search 🎯 MITRE ATT&CK 📊 CVE Details
مشاركة ثغرة
LinkedIn X / Twitter WhatsApp Telegram
📣 وجدت هذا مفيداً؟
شاركه مع شبكة الأمن السيبراني الخاصة بك
in لينكدإن 𝕏 تويتر 💬 واتساب ✈ تليجرام
🍪 إعدادات الخصوصية
سيزو للاستشارات — متوافق مع نظام حماية البيانات الشخصية السعودي (PDPL)
نستخدم ملفات تعريف الارتباط والتقنيات المشابهة لتوفير أفضل تجربة على منصتنا. يمكنك اختيار الأنواع التي تقبلها.
🔒
ملفات ضرورية Always On
مطلوبة لعمل الموقع بشكل صحيح. لا يمكن تعطيلها.
📋 الجلسات، CSRF، المصادقة، تفضيلات اللغة
📊
ملفات التحليلات
تساعدنا في فهم كيفية استخدام الزوار للموقع وتحسين الأداء.
📋 إحصائيات الصفحات، مدة الجلسة، مصدر الزيارة
⚙️
ملفات وظيفية
تتيح ميزات محسنة مثل تخصيص المحتوى والتفضيلات.
📋 السمة المظلمة/الفاتحة، حجم الخط، لوحات التحكم المخصصة
📣
ملفات تسويقية
تُستخدم لتقديم محتوى وإعلانات ذات صلة باهتماماتك.
📋 تتبع الحملات، إعادة الاستهداف، تحليلات وسائل التواصل
سياسة الخصوصية →
مساعد CISO الذكي
اسألني أي شيء · وثائق · دعم
🔐

عرّفنا بنفسك

أدخل بياناتك للوصول إلى المساعد الكامل

معلوماتك آمنة ولن تُشارك
💬
المساعد السيبراني
متصل — يرد في ثوانٍ
5 / 5
🔐 تحقق من هويتك

أدخل بريدك الإلكتروني لإرسال رمز تحقق قبل إرسال طلب الدعم.

Enter للإرسال · / للأوامر 0 / 2000
CISO AI · مدعوم بالذكاء الاصطناعي
✦ استطلاع سريع ساعدنا في تحسين منصة سيزو للاستشارات ملاحظاتك تشكّل مستقبل منصتنا — لا تستغرق سوى دقيقتين.
⚠ يرجى الإجابة على هذا السؤال للمتابعة

كيف تقيّم تجربتك العامة مع منصتنا؟

قيّم من 1 (ضعيف) إلى 5 (ممتاز)

🎉
شكراً جزيلاً!
تم تسجيل إجابتك بنجاح.