📧 info@ciso.sa | 📱 +966550939344 | الرياض، المملكة العربية السعودية
عن المنصة الأسئلة الشائعة اتصل بنا شروط الخدمة سياسة الخصوصية 🌐 English
🔐

مرحباً — سجّل دخولك أو أنشئ حساباً للوصول الكامل.

🔑 دخول ✨ حساب جديد
🌐 EN تسجيل الدخول إنشاء حساب
🔧 صيانة مجدولة — السبت 2:00-4:00 صباحاً. قد تكون بعض الميزات غير متاحة مؤقتاً.    ●   
💎
خطة Pro بخصم 50% احصل على جميع ميزات AI والتقارير غير المحدودة والدعم ذي الأولوية. الترقية الآن
مركز البحث
ESC للإغلاق
تنقل فتح Ctrl+K بحث
CISO Consulting
Global vulnerability تكنولوجيا المعلومات HIGH 34m Global data_breach قطاع المياه والبنية التحتية الحساسة HIGH 49m Global general خدمات الأمن السيبراني HIGH 1h Global data_breach الصيدلة والأدوية HIGH 2h Global vulnerability التكنولوجيا والذكاء الاصطناعي CRITICAL 2h Global vulnerability تكنولوجيا المعلومات CRITICAL 2h Global phishing قطاع الألعاب والترفيه HIGH 2h Global vulnerability تكنولوجيا المعلومات CRITICAL 2h Global phishing إنفاذ القانون والجرائم السيبرانية HIGH 3h Global vulnerability الذكاء الاصطناعي MEDIUM 3h Global vulnerability تكنولوجيا المعلومات HIGH 34m Global data_breach قطاع المياه والبنية التحتية الحساسة HIGH 49m Global general خدمات الأمن السيبراني HIGH 1h Global data_breach الصيدلة والأدوية HIGH 2h Global vulnerability التكنولوجيا والذكاء الاصطناعي CRITICAL 2h Global vulnerability تكنولوجيا المعلومات CRITICAL 2h Global phishing قطاع الألعاب والترفيه HIGH 2h Global vulnerability تكنولوجيا المعلومات CRITICAL 2h Global phishing إنفاذ القانون والجرائم السيبرانية HIGH 3h Global vulnerability الذكاء الاصطناعي MEDIUM 3h Global vulnerability تكنولوجيا المعلومات HIGH 34m Global data_breach قطاع المياه والبنية التحتية الحساسة HIGH 49m Global general خدمات الأمن السيبراني HIGH 1h Global data_breach الصيدلة والأدوية HIGH 2h Global vulnerability التكنولوجيا والذكاء الاصطناعي CRITICAL 2h Global vulnerability تكنولوجيا المعلومات CRITICAL 2h Global phishing قطاع الألعاب والترفيه HIGH 2h Global vulnerability تكنولوجيا المعلومات CRITICAL 2h Global phishing إنفاذ القانون والجرائم السيبرانية HIGH 3h Global vulnerability الذكاء الاصطناعي MEDIUM 3h
الثغرات

CVE-2026-1891

متوسط
The Simple Football Scoreboard plugin for WordPress is vulnerable to Stored Cross-Site Scripting via the 'ytmr_fb_scoreboard' shortcode in all versions up to, and including, 1.0 due to insufficient in
CWE-79 — نوع الضعف
نُشر: Mar 21, 2026  ·  آخر تحديث: Mar 23, 2026  ·  المصدر: NVD
CVSS v3
6.4
🔗 NVD الرسمي
📄 الوصف (الإنجليزية)

The Simple Football Scoreboard plugin for WordPress is vulnerable to Stored Cross-Site Scripting via the 'ytmr_fb_scoreboard' shortcode in all versions up to, and including, 1.0 due to insufficient input sanitization and output escaping on user supplied attributes. This makes it possible for authenticated attackers, with Contributor-level access and above, to inject arbitrary web scripts in pages that will execute whenever a user accesses an injected page.

🤖 ملخص AI

The Simple Football Scoreboard WordPress plugin contains a Stored Cross-Site Scripting (XSS) vulnerability in the 'ytmr_fb_scoreboard' shortcode affecting all versions up to 1.0. Authenticated attackers with Contributor-level access can inject malicious scripts that persist and execute for all users viewing affected pages. While currently unpatched, the vulnerability requires authenticated access, limiting immediate risk but posing significant threats to WordPress installations used by Saudi organizations.

📄 الوصف (العربية)

🤖 التحليل الذكي آخر تحليل: May 15, 2026 17:08
🇸🇦 التأثير على المملكة العربية السعودية
Saudi organizations using WordPress for content management, particularly government agencies, educational institutions, and small-to-medium enterprises, face moderate risk. Government websites and NCSC-regulated entities using this plugin could experience content manipulation and credential theft. The vulnerability is particularly concerning for organizations with multiple contributor-level users, as insider threats or compromised accounts could inject malicious content affecting public-facing websites. Banking and financial sector WordPress implementations are at lower risk unless used for customer-facing portals. Healthcare organizations using WordPress for patient information portals face data exposure risks.
🏢 القطاعات السعودية المتأثرة
Government and Public Administration Education and Universities Small and Medium Enterprises Healthcare Non-Profit Organizations Media and Publishing
⚖️ درجة المخاطر السعودية (AI)
5.8
/ 10.0
🔧 Remediation Steps (English)
Immediate Actions:

1. Audit all WordPress installations for the Simple Football Scoreboard plugin presence

2. Review user access logs for any suspicious shortcode modifications by Contributor+ accounts

3. Inspect all pages/posts containing 'ytmr_fb_scoreboard' shortcode for injected scripts

4. Restrict Contributor-level permissions to only trusted users immediately

5. Enable WordPress security logging and monitoring



Compensating Controls (until patch available):

1. Disable the plugin if not actively used; remove from all installations

2. Implement Web Application Firewall (WAF) rules to detect XSS patterns in shortcode attributes

3. Apply Content Security Policy (CSP) headers to prevent inline script execution

4. Use WordPress security plugins (Wordfence, Sucuri) with XSS detection

5. Implement strict input validation at the application level

6. Regularly scan for malicious content using WordPress security scanners



Detection Rules:

1. Monitor for shortcode modifications: [ytmr_fb_scoreboard with script tags or event handlers

2. Alert on Contributor+ user modifications to pages containing this shortcode

3. Search database for patterns: ytmr_fb_scoreboard.*<script, ytmr_fb_scoreboard.*javascript:, ytmr_fb_scoreboard.*on[a-z]+

4. Monitor for unusual post_content modifications in wp_posts table



Patching Strategy:

1. Monitor plugin repository for security updates

2. Contact plugin developer for patch timeline

3. Consider alternative football scoreboard plugins with active security maintenance

4. Plan migration strategy if plugin remains unpatched beyond 30 days
🔧 خطوات المعالجة (العربية)
الإجراءات الفورية:

1. تدقيق جميع تثبيتات ووردبريس للتحقق من وجود مكون Simple Football Scoreboard

2. مراجعة سجلات الوصول للكشف عن أي تعديلات مريبة على الاختصار من قبل حسابات المساهم وما فوقه

3. فحص جميع الصفحات والمنشورات التي تحتوي على اختصار 'ytmr_fb_scoreboard' بحثاً عن برامج نصية محقونة

4. تقييد أذونات مستوى المساهم للمستخدمين الموثوقين فقط على الفور

5. تفعيل تسجيل المراقبة الأمنية في ووردبريس



الضوابط التعويضية (حتى توفر التصحيح):

1. تعطيل المكون إذا لم يكن قيد الاستخدام النشط؛ إزالته من جميع التثبيتات

2. تطبيق قواعد جدار حماية تطبيقات الويب للكشف عن أنماط XSS في سمات الاختصار

3. تطبيق رؤوس سياسة أمان المحتوى لمنع تنفيذ البرامج النصية المضمنة

4. استخدام مكونات أمان ووردبريس (Wordfence, Sucuri) مع كشف XSS

5. تطبيق التحقق الصارم من المدخلات على مستوى التطبيق

6. مسح منتظم للمحتوى الضار باستخدام ماسحات أمان ووردبريس



قواعد الكشف:

1. مراقبة تعديلات الاختصار: [ytmr_fb_scoreboard مع علامات script أو معالجات الأحداث

2. تنبيه عند تعديلات المستخدم من مستوى المساهم+ للصفحات التي تحتوي على هذا الاختصار

3. البحث في قاعدة البيانات عن الأنماط: ytmr_fb_scoreboard.*<script, ytmr_fb_scoreboard.*javascript:, ytmr_fb_scoreboard.*on[a-z]+

4. مراقبة تعديلات post_content غير العادية في جدول wp_posts



استراتيجية التصحيح:

1. مراقبة مستودع المكون للتحديثات الأمنية

2. الاتصال بمطور المكون للحصول على جدول زمني للتصحيح

3. النظر في مكونات scoreboard بديلة مع صيانة أمان نشطة

4. التخطيط لاستراتيجية الهجرة إذا ظل المكون بدون تصحيح لأكثر من 30 يوماً
📋 خريطة الامتثال التنظيمي
🟢 NCA ECC 2024
ECC 2024 A.14.2.1 - Information security requirements for supplier relationships ECC 2024 A.5.1.1 - Policies for information security ECC 2024 A.12.6.1 - Management of technical vulnerabilities
🔵 SAMA CSF
ID.GV-1 - Organizational processes to manage cybersecurity risk PR.DS-1 - Data security and privacy protections DE.CM-1 - The network is monitored to detect potential cybersecurity events
🟡 ISO 27001:2022
A.12.6.1 - Management of technical vulnerabilities A.14.2.1 - Supplier security requirements A.5.1.1 - Information security policies
🟣 PCI DSS v4.0.1
Requirement 6.2 - Security patches must be installed within defined timeframe
📊 CVSS Score
6.4
/ 10.0 — متوسط
📊 CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:L/I:L/A:N
Attack VectorN — None / Network
Attack ComplexityL — Low / Local
Privileges RequiredL — Low / Local
User InteractionN — None / Network
ScopeC — Changed
ConfidentialityL — Low / Local
IntegrityL — Low / Local
AvailabilityN — None / Network
📋 حقائق سريعة
الخطورة متوسط
CVSS Score6.4
CWECWE-79
اختراق متاح لا
تصحيح متاح ✗ لا
تاريخ النشر 2026-03-21
المصدر nvd
المشاهدات 6
🇸🇦 درجة المخاطر السعودية
5.8
/ 10.0 — مخاطر السعودية
أولوية: HIGH
🏷️ الوسوم
CWE-79
⚡ إجراءات
🔗 NVD Official Page ⚡ Exploit-DB Search 🐙 GitHub PoC Search 🎯 MITRE ATT&CK 📊 CVE Details
مشاركة ثغرة
LinkedIn X / Twitter WhatsApp Telegram
📣 وجدت هذا مفيداً؟
شاركه مع شبكة الأمن السيبراني الخاصة بك
in لينكدإن 𝕏 تويتر 💬 واتساب ✈ تليجرام
🍪 إعدادات الخصوصية
سيزو للاستشارات — متوافق مع نظام حماية البيانات الشخصية السعودي (PDPL)
نستخدم ملفات تعريف الارتباط والتقنيات المشابهة لتوفير أفضل تجربة على منصتنا. يمكنك اختيار الأنواع التي تقبلها.
🔒
ملفات ضرورية Always On
مطلوبة لعمل الموقع بشكل صحيح. لا يمكن تعطيلها.
📋 الجلسات، CSRF، المصادقة، تفضيلات اللغة
📊
ملفات التحليلات
تساعدنا في فهم كيفية استخدام الزوار للموقع وتحسين الأداء.
📋 إحصائيات الصفحات، مدة الجلسة، مصدر الزيارة
⚙️
ملفات وظيفية
تتيح ميزات محسنة مثل تخصيص المحتوى والتفضيلات.
📋 السمة المظلمة/الفاتحة، حجم الخط، لوحات التحكم المخصصة
📣
ملفات تسويقية
تُستخدم لتقديم محتوى وإعلانات ذات صلة باهتماماتك.
📋 تتبع الحملات، إعادة الاستهداف، تحليلات وسائل التواصل
سياسة الخصوصية →
مساعد CISO الذكي
اسألني أي شيء · وثائق · دعم
🔐

عرّفنا بنفسك

أدخل بياناتك للوصول إلى المساعد الكامل

معلوماتك آمنة ولن تُشارك
💬
المساعد السيبراني
متصل — يرد في ثوانٍ
5 / 5
🔐 تحقق من هويتك

أدخل بريدك الإلكتروني لإرسال رمز تحقق قبل إرسال طلب الدعم.

Enter للإرسال · / للأوامر 0 / 2000
CISO AI · مدعوم بالذكاء الاصطناعي
✦ استطلاع سريع ساعدنا في تحسين منصة سيزو للاستشارات ملاحظاتك تشكّل مستقبل منصتنا — لا تستغرق سوى دقيقتين.
⚠ يرجى الإجابة على هذا السؤال للمتابعة

كيف تقيّم تجربتك العامة مع منصتنا؟

قيّم من 1 (ضعيف) إلى 5 (ممتاز)

🎉
شكراً جزيلاً!
تم تسجيل إجابتك بنجاح.