📄 الوصف (الإنجليزية)
A vulnerability was identified in itsourcecode Fees Management System 1.0. This affects an unknown function of the file /manage_student.php. The manipulation of the argument ID leads to sql injection. Remote exploitation of the attack is possible. The exploit is publicly available and might be used.
🤖 ملخص AI
A SQL injection vulnerability exists in itsourcecode Fees Management System 1.0 via the ID parameter in /manage_student.php, allowing unauthenticated remote attackers to execute arbitrary SQL queries. With a CVSS score of 6.3 and public exploit availability, this poses a significant risk to educational institutions and organizations using this system in Saudi Arabia. Immediate mitigation is critical as no official patch is currently available.
📄 الوصف (العربية)
🤖 التحليل الذكي آخر تحليل: Jun 4, 2026 20:31
🇸🇦 التأثير على المملكة العربية السعودية
This vulnerability primarily impacts Saudi educational institutions, private schools, and universities using itsourcecode Fees Management System. Secondary impact extends to government education sector (Ministry of Education), financial institutions processing student fees, and healthcare organizations with student management modules. The SQL injection could lead to unauthorized access to sensitive student records, financial data theft, and system compromise. Organizations in the education sector and those handling student financial information face the highest risk.
🏢 القطاعات السعودية المتأثرة
Education (Ministry of Education, Private Schools, Universities)
Government (Student Records Management)
Financial Services (Student Loan Processing, Fee Collection)
Healthcare (Student Health Records)
Non-Profit Organizations (Educational NGOs)
🎯 تقنيات MITRE ATT&CK
⚖️ درجة المخاطر السعودية (AI)
7.2
/ 10.0
🔧 Remediation Steps (English)
IMMEDIATE ACTIONS:
1. Audit all instances of itsourcecode Fees Management System 1.0 in your environment
2. Restrict network access to /manage_student.php using WAF rules or firewall policies
3. Implement input validation: sanitize and parameterize all ID parameters using prepared statements
4. Enable SQL error suppression to prevent information disclosure
5. Implement rate limiting on the /manage_student.php endpoint
COMPENSATING CONTROLS:
6. Deploy Web Application Firewall (WAF) rules to block SQL injection patterns: UNION, SELECT, DROP, INSERT, UPDATE, DELETE in ID parameters
7. Monitor database logs for suspicious queries and failed authentication attempts
8. Implement database user privilege separation - ensure application DB user has minimal required permissions
9. Enable database activity monitoring and alerting
10. Consider migrating to a patched or alternative fees management system
DETECTION RULES:
- Monitor for SQL keywords in GET/POST parameters to /manage_student.php
- Alert on multiple failed database queries from application user
- Track unusual database access patterns or data exfiltration attempts
- Log all access attempts to student records with timestamp and user ID
🔧 خطوات المعالجة (العربية)
الإجراءات الفورية:
1. تدقيق جميع حالات نظام إدارة الرسوم من itsourcecode الإصدار 1.0 في بيئتك
2. تقييد الوصول إلى /manage_student.php باستخدام قواعد WAF أو سياسات جدار الحماية
3. تنفيذ التحقق من المدخلات: تطهير وتحديد معاملات ID باستخدام الاستعلامات المحضرة
4. تفعيل قمع أخطاء SQL لمنع الكشف عن المعلومات
5. تنفيذ تحديد معدل على نقطة نهاية /manage_student.php
الضوابط التعويضية:
6. نشر قواعد جدار تطبيقات الويب (WAF) لحجب أنماط حقن SQL: UNION و SELECT و DROP و INSERT و UPDATE و DELETE في معاملات ID
7. مراقبة سجلات قاعدة البيانات للاستعلامات المريبة ومحاولات المصادقة الفاشلة
8. تنفيذ فصل امتيازات مستخدم قاعدة البيانات - تأكد من أن مستخدم قاعدة البيانات للتطبيق لديه الحد الأدنى من الأذونات المطلوبة
9. تفعيل مراقبة نشاط قاعدة البيانات والتنبيهات
10. النظر في الهجرة إلى نظام إدارة رسوم معدل أو بديل
قواعد الكشف:
- مراقبة كلمات SQL الرئيسية في معاملات GET/POST إلى /manage_student.php
- التنبيه على استعلامات قاعدة بيانات متعددة فاشلة من مستخدم التطبيق
- تتبع أنماط الوصول غير العادية إلى قاعدة البيانات أو محاولات تسرب البيانات
- تسجيل جميع محاولات الوصول إلى سجلات الطلاب مع الطابع الزمني ومعرف المستخدم
📋 خريطة الامتثال التنظيمي
🟢 NCA ECC 2024
ECC 2024 A.14.2.1 - Information security requirements for system development and maintenance
ECC 2024 A.14.2.5 - Secure development policy
ECC 2024 A.12.6.1 - Management of technical vulnerabilities
ECC 2024 A.12.2.1 - Monitoring of system use
🔵 SAMA CSF
SAMA CSF ID.RA-1 - Asset Management and Vulnerability Management
SAMA CSF PR.DS-6 - Data Protection and Privacy
SAMA CSF DE.CM-1 - Detection and Analysis
SAMA CSF RS.MI-2 - Incident Response and Recovery
🟡 ISO 27001:2022
ISO 27001:2022 A.8.1 - Organizational controls for information security
ISO 27001:2022 A.12.6.1 - Management of technical vulnerabilities
ISO 27001:2022 A.14.2.1 - Secure development policy and procedures
ISO 27001:2022 A.5.23 - Information security for supplier relationships
🟣 PCI DSS v4.0.1
PCI DSS 6.2 - Security patches and updates
PCI DSS 6.5.1 - Injection flaws prevention
PCI DSS 11.2 - Vulnerability scanning
🔗 المراجع والمصادر 6
🔗
🔗
🔗
🔗
🔗
🔗
https://github.com/ltranquility/vuln_submit/issues/12
cna@vuldb.com
https://itsourcecode.com/
cna@vuldb.com
https://vuldb.com/cve/CVE-2026-10808
cna@vuldb.com
https://vuldb.com/submit/831567
cna@vuldb.com
https://vuldb.com/vuln/368256
cna@vuldb.com
https://vuldb.com/vuln/368256/cti
cna@vuldb.com