📧 info@ciso.sa | 📱 +966550939344 | الرياض، المملكة العربية السعودية
عن المنصة الأسئلة الشائعة اتصل بنا شروط الخدمة سياسة الخصوصية 🌐 English
🔐

مرحباً — سجّل دخولك أو أنشئ حساباً للوصول الكامل.

🔑 دخول ✨ حساب جديد
🌐 EN تسجيل الدخول إنشاء حساب
🔧 صيانة مجدولة — السبت 2:00-4:00 صباحاً. قد تكون بعض الميزات غير متاحة مؤقتاً.    ●   
💎
خطة Pro بخصم 50% احصل على جميع ميزات AI والتقارير غير المحدودة والدعم ذي الأولوية. الترقية الآن
مركز البحث
ESC للإغلاق
تنقل فتح Ctrl+K بحث
CISO Consulting
Global phishing تكنولوجيا المعلومات HIGH 39m Global ransomware قطاعات متعددة CRITICAL 41m Global malware قطاعات متعددة CRITICAL 45m Global general الأمن السيبراني LOW 56m Global vulnerability تكنولوجيا المعلومات CRITICAL 1h Global vulnerability التكنولوجيا والبرمجيات CRITICAL 2h Global general تكنولوجيا الأمن السيبراني LOW 2h Global vulnerability مراكز البيانات والبنية التحتية الحرجة CRITICAL 2h Global general أمن المؤسسات والحوكمة HIGH 2h Global phishing الجمهور العام / قطاعات متعددة HIGH 3h Global phishing تكنولوجيا المعلومات HIGH 39m Global ransomware قطاعات متعددة CRITICAL 41m Global malware قطاعات متعددة CRITICAL 45m Global general الأمن السيبراني LOW 56m Global vulnerability تكنولوجيا المعلومات CRITICAL 1h Global vulnerability التكنولوجيا والبرمجيات CRITICAL 2h Global general تكنولوجيا الأمن السيبراني LOW 2h Global vulnerability مراكز البيانات والبنية التحتية الحرجة CRITICAL 2h Global general أمن المؤسسات والحوكمة HIGH 2h Global phishing الجمهور العام / قطاعات متعددة HIGH 3h Global phishing تكنولوجيا المعلومات HIGH 39m Global ransomware قطاعات متعددة CRITICAL 41m Global malware قطاعات متعددة CRITICAL 45m Global general الأمن السيبراني LOW 56m Global vulnerability تكنولوجيا المعلومات CRITICAL 1h Global vulnerability التكنولوجيا والبرمجيات CRITICAL 2h Global general تكنولوجيا الأمن السيبراني LOW 2h Global vulnerability مراكز البيانات والبنية التحتية الحرجة CRITICAL 2h Global general أمن المؤسسات والحوكمة HIGH 2h Global phishing الجمهور العام / قطاعات متعددة HIGH 3h
الثغرات

CVE-2026-11336

متوسط
CWE-266 — نوع الضعف
نُشر: Jun 5, 2026  ·  آخر تحديث: Jun 8, 2026  ·  المصدر: NVD
CVSS v3
6.3
🔗 NVD الرسمي
📄 الوصف (الإنجليزية)

A vulnerability has been found in tittuvarghese CollegeManagementSystem 3e476335cfbfb9a049e09f474c7ec885f69a9df3/a38852979f7e27ae67b610dce5979500ef8ebe01. Affected is an unknown function of the file dashboard_page/admin_page.php of the component Admin Interface. The manipulation of the argument UserAuthData leads to improper authorization. The attack may be initiated remotely. The exploit has been disclosed to the public and may be used. This product uses a rolling release model to deliver continuous updates. As a result, specific version information for affected or updated releases is not available. The project was informed of the problem early through an issue report but has not responded yet.

🤖 ملخص AI

A critical authorization bypass vulnerability exists in CollegeManagementSystem's admin interface affecting the UserAuthData parameter in dashboard_page/admin_page.php. This CWE-266 improper authorization flaw allows remote attackers to bypass authentication controls without requiring valid credentials. With no patch currently available and public exploit disclosure, this poses immediate risk to educational institutions and organizations using this system.

📄 الوصف (العربية)

🤖 التحليل الذكي آخر تحليل: Jun 5, 2026 20:17
🇸🇦 التأثير على المملكة العربية السعودية
Saudi educational institutions, particularly universities and colleges using CollegeManagementSystem, face direct risk of unauthorized administrative access. Government education sector (Ministry of Education) and private educational institutions are most vulnerable. Secondary impact extends to healthcare institutions using similar management systems, and any government agencies utilizing this platform for administrative functions. The vulnerability enables complete compromise of student records, financial data, and institutional operations without detection.
🏢 القطاعات السعودية المتأثرة
Education (Universities, Colleges, Schools) Government (Ministry of Education, Administrative Agencies) Healthcare (Hospital Management Systems) Private Sector (Corporate Training Centers) Non-Profit Organizations
⚖️ درجة المخاطر السعودية (AI)
7.8
/ 10.0
🔧 Remediation Steps (English)
IMMEDIATE ACTIONS:

1. Isolate affected CollegeManagementSystem instances from production networks immediately

2. Implement network-level access controls restricting admin_page.php to authorized IP ranges only

3. Enable comprehensive logging and monitoring of all admin interface access attempts

4. Review access logs for suspicious UserAuthData parameter manipulation attempts

5. Force password reset for all administrative accounts



COMPENSATING CONTROLS (until patch available):

6. Deploy Web Application Firewall (WAF) rules to block requests containing suspicious UserAuthData payloads

7. Implement input validation at network perimeter for admin_page.php requests

8. Apply rate limiting to admin interface endpoints

9. Require multi-factor authentication for all admin access

10. Implement IP whitelisting for admin interface access



DETECTION RULES:

11. Monitor for POST/GET requests to dashboard_page/admin_page.php with UserAuthData parameter variations

12. Alert on successful admin access without corresponding authentication logs

13. Track unusual privilege escalation patterns in application logs

14. Monitor for concurrent admin sessions from different IP addresses



LONG-TERM:

15. Contact vendor for security update timeline

16. Evaluate alternative college management systems with better security posture

17. Implement code review of admin_page.php authorization logic

18. Conduct full security audit of authentication mechanisms
🔧 خطوات المعالجة (العربية)
الإجراءات الفورية:

1. عزل نوافذ نظام إدارة الكليات المتأثرة عن شبكات الإنتاج فوراً

2. تطبيق عناصر تحكم الوصول على مستوى الشبكة لتقييد admin_page.php على نطاقات IP مصرح بها فقط

3. تفعيل السجلات الشاملة ومراقبة جميع محاولات الوصول إلى واجهة المسؤول

4. مراجعة سجلات الوصول للكشف عن محاولات معالجة معامل UserAuthData المريبة

5. فرض إعادة تعيين كلمة المرور لجميع الحسابات الإدارية



عناصر التحكم البديلة (حتى توفر التصحيح):

6. نشر قواعد جدار حماية تطبيقات الويب (WAF) لحظر الطلبات التي تحتوي على حمولات UserAuthData المريبة

7. تطبيق التحقق من صحة الإدخال على محيط الشبكة لطلبات admin_page.php

8. تطبيق تحديد معدل على نقاط نهاية واجهة المسؤول

9. طلب المصادقة متعددة العوامل لجميع الوصول الإداري

10. تطبيق قائمة بيضاء IP لوصول واجهة المسؤول



قواعد الكشف:

11. مراقبة طلبات POST/GET إلى dashboard_page/admin_page.php مع اختلافات معامل UserAuthData

12. تنبيه الوصول الإداري الناجح بدون سجلات مصادقة مقابلة

13. تتبع أنماط تصعيد الامتيازات غير العادية في سجلات التطبيق

14. مراقبة جلسات المسؤول المتزامنة من عناوين IP مختلفة



المدى الطويل:

15. الاتصال بالمورد للحصول على جدول زمني لتحديث الأمان

16. تقييم أنظمة إدارة الكليات البديلة بموقف أمني أفضل

17. تطبيق مراجعة الكود لمنطق التفويض في admin_page.php

18. إجراء تدقيق أمني شامل لآليات المصادقة
📋 خريطة الامتثال التنظيمي
🟢 NCA ECC 2024
ECC 2024 A.9.1.1 - Access control policy and procedures ECC 2024 A.9.2.1 - User registration and access rights management ECC 2024 A.9.4.3 - Password management systems ECC 2024 A.14.2.1 - Secure development policy ECC 2024 A.12.4.1 - Event logging and monitoring
🔵 SAMA CSF
Governance & Risk Management - Authorization and access control Information Security - Authentication and authorization controls Operational Resilience - Incident detection and response Technology & Innovation - Secure software development
🟡 ISO 27001:2022
ISO 27001:2022 A.5.3 - Segregation of duties ISO 27001:2022 A.8.2 - User access management ISO 27001:2022 A.8.3 - User responsibilities ISO 27001:2022 A.9.2 - User access provisioning ISO 27001:2022 A.9.4 - Access rights review ISO 27001:2022 A.14.2 - Secure development requirements
🟣 PCI DSS v4.0.1
PCI DSS 2.1 - Default security parameters PCI DSS 6.5.10 - Broken authentication PCI DSS 7.1 - Limit access to system components PCI DSS 8.1 - Assign unique ID to each person
📊 CVSS Score
6.3
/ 10.0 — متوسط
📊 CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:L/A:L
Attack VectorN — None / Network
Attack ComplexityL — Low / Local
Privileges RequiredL — Low / Local
User InteractionN — None / Network
ScopeU — Unchanged
ConfidentialityL — Low / Local
IntegrityL — Low / Local
AvailabilityL — Low / Local
📋 حقائق سريعة
الخطورة متوسط
CVSS Score6.3
CWECWE-266
EPSS0.04%
اختراق متاح لا
تصحيح متاح ✗ لا
تاريخ النشر 2026-06-05
المصدر nvd
المشاهدات 3
🇸🇦 درجة المخاطر السعودية
7.8
/ 10.0 — مخاطر السعودية
أولوية: CRITICAL
🏷️ الوسوم
CWE-266
⚡ إجراءات
🔗 NVD Official Page ⚡ Exploit-DB Search 🐙 GitHub PoC Search 🎯 MITRE ATT&CK 📊 CVE Details
مشاركة ثغرة
LinkedIn X / Twitter WhatsApp Telegram
📣 وجدت هذا مفيداً؟
شاركه مع شبكة الأمن السيبراني الخاصة بك
in لينكدإن 𝕏 تويتر 💬 واتساب ✈ تليجرام
🍪 إعدادات الخصوصية
سيزو للاستشارات — متوافق مع نظام حماية البيانات الشخصية السعودي (PDPL)
نستخدم ملفات تعريف الارتباط والتقنيات المشابهة لتوفير أفضل تجربة على منصتنا. يمكنك اختيار الأنواع التي تقبلها.
🔒
ملفات ضرورية Always On
مطلوبة لعمل الموقع بشكل صحيح. لا يمكن تعطيلها.
📋 الجلسات، CSRF، المصادقة، تفضيلات اللغة
📊
ملفات التحليلات
تساعدنا في فهم كيفية استخدام الزوار للموقع وتحسين الأداء.
📋 إحصائيات الصفحات، مدة الجلسة، مصدر الزيارة
⚙️
ملفات وظيفية
تتيح ميزات محسنة مثل تخصيص المحتوى والتفضيلات.
📋 السمة المظلمة/الفاتحة، حجم الخط، لوحات التحكم المخصصة
📣
ملفات تسويقية
تُستخدم لتقديم محتوى وإعلانات ذات صلة باهتماماتك.
📋 تتبع الحملات، إعادة الاستهداف، تحليلات وسائل التواصل
سياسة الخصوصية →
مساعد CISO الذكي
اسألني أي شيء · وثائق · دعم
🔐

عرّفنا بنفسك

أدخل بياناتك للوصول إلى المساعد الكامل

معلوماتك آمنة ولن تُشارك
💬
المساعد السيبراني
متصل — يرد في ثوانٍ
5 / 5
🔐 تحقق من هويتك

أدخل بريدك الإلكتروني لإرسال رمز تحقق قبل إرسال طلب الدعم.

Enter للإرسال · / للأوامر 0 / 2000
CISO AI · مدعوم بالذكاء الاصطناعي
✦ استطلاع سريع ساعدنا في تحسين منصة سيزو للاستشارات ملاحظاتك تشكّل مستقبل منصتنا — لا تستغرق سوى دقيقتين.
⚠ يرجى الإجابة على هذا السؤال للمتابعة

كيف تقيّم تجربتك العامة مع منصتنا؟

قيّم من 1 (ضعيف) إلى 5 (ممتاز)

🎉
شكراً جزيلاً!
تم تسجيل إجابتك بنجاح.