📧 info@ciso.sa | 📱 +966550939344 | الرياض، المملكة العربية السعودية
عن المنصة الأسئلة الشائعة اتصل بنا شروط الخدمة سياسة الخصوصية 🌐 English
🔐

مرحباً — سجّل دخولك أو أنشئ حساباً للوصول الكامل.

🔑 دخول ✨ حساب جديد
🌐 EN تسجيل الدخول إنشاء حساب
🔧 صيانة مجدولة — السبت 2:00-4:00 صباحاً. قد تكون بعض الميزات غير متاحة مؤقتاً.    ●   
💎
خطة Pro بخصم 50% احصل على جميع ميزات AI والتقارير غير المحدودة والدعم ذي الأولوية. الترقية الآن
مركز البحث
ESC للإغلاق
تنقل فتح Ctrl+K بحث
CISO Consulting
Global ransomware قطاعات متعددة HIGH 20h Global supply_chain تطوير البرمجيات، التكنولوجيا CRITICAL 22h Global vulnerability تطوير الويب وإدارة المحتوى MEDIUM 1d Global general الحكومة والسياسة MEDIUM 1d Global data_breach البرمجيات والخدمات السحابية CRITICAL 1d Global vulnerability التكنولوجيا / خدمات الويب HIGH 1d Global vulnerability الإلكترونيات الاستهلاكية / التكنولوجيا CRITICAL 1d Global ransomware المؤسسات / جميع القطاعات CRITICAL 1d Global data_breach القطاع الحكومي CRITICAL 1d Global malware قطاعات متعددة / الجمهور العام HIGH 1d Global ransomware قطاعات متعددة HIGH 20h Global supply_chain تطوير البرمجيات، التكنولوجيا CRITICAL 22h Global vulnerability تطوير الويب وإدارة المحتوى MEDIUM 1d Global general الحكومة والسياسة MEDIUM 1d Global data_breach البرمجيات والخدمات السحابية CRITICAL 1d Global vulnerability التكنولوجيا / خدمات الويب HIGH 1d Global vulnerability الإلكترونيات الاستهلاكية / التكنولوجيا CRITICAL 1d Global ransomware المؤسسات / جميع القطاعات CRITICAL 1d Global data_breach القطاع الحكومي CRITICAL 1d Global malware قطاعات متعددة / الجمهور العام HIGH 1d Global ransomware قطاعات متعددة HIGH 20h Global supply_chain تطوير البرمجيات، التكنولوجيا CRITICAL 22h Global vulnerability تطوير الويب وإدارة المحتوى MEDIUM 1d Global general الحكومة والسياسة MEDIUM 1d Global data_breach البرمجيات والخدمات السحابية CRITICAL 1d Global vulnerability التكنولوجيا / خدمات الويب HIGH 1d Global vulnerability الإلكترونيات الاستهلاكية / التكنولوجيا CRITICAL 1d Global ransomware المؤسسات / جميع القطاعات CRITICAL 1d Global data_breach القطاع الحكومي CRITICAL 1d Global malware قطاعات متعددة / الجمهور العام HIGH 1d
الثغرات

CVE-2026-30522

متوسط ⚡ اختراق متاح
A Business Logic vulnerability exists in SourceCodester Loan Management System v1.0 due to improper server-side validation. The application allows administrators to create "Loan Plans" with specific p
CWE-602 — نوع الضعف
نُشر: Apr 1, 2026  ·  آخر تحديث: Apr 3, 2026  ·  المصدر: NVD
CVSS v3
6.5
🔗 NVD الرسمي
📄 الوصف (الإنجليزية)

A Business Logic vulnerability exists in SourceCodester Loan Management System v1.0 due to improper server-side validation. The application allows administrators to create "Loan Plans" with specific penalty rates for overdue payments. While the frontend interface prevents users from entering negative numbers in the "Monthly Overdue Penalty" field, this constraint is not enforced on the backend. An authenticated attacker can bypass the client-side restriction by manipulating the HTTP POST request to submit a negative value for the penalty_rate.

🤖 ملخص AI

CVE-2026-30522 is a business logic vulnerability in SourceCodester Loan Management System v1.0 that allows authenticated administrators to bypass client-side validation and submit negative penalty rates for overdue loan payments. By manipulating HTTP POST requests, attackers can create loan plans with negative penalties, potentially enabling fraudulent loan forgiveness or financial manipulation. With an available exploit and no patch, this poses immediate risk to financial institutions using this system.

📄 الوصف (العربية)

🤖 التحليل الذكي آخر تحليل: May 12, 2026 22:01
🇸🇦 التأثير على المملكة العربية السعودية
This vulnerability directly impacts Saudi financial institutions, particularly smaller banks and microfinance companies using SourceCodester Loan Management System. Primary risk sectors include: Banking (SAMA-regulated institutions), Fintech companies, and credit unions. Malicious administrators or compromised admin accounts could manipulate loan penalty calculations, resulting in revenue loss, regulatory violations with SAMA, and potential fraud. The vulnerability is particularly dangerous in Saudi Arabia's growing fintech sector where such systems may manage significant loan portfolios.
🏢 القطاعات السعودية المتأثرة
Banking Fintech Microfinance Credit Unions Government Financial Services Insurance (if using for premium calculations)
⚖️ درجة المخاطر السعودية (AI)
7.2
/ 10.0
🔧 Remediation Steps (English)
Immediate Actions:

1. Audit all loan plans created in the past 6 months to identify any with negative penalty rates

2. Disable the Loan Management System or restrict admin access to trusted personnel only

3. Review transaction logs for suspicious penalty rate modifications

4. Implement database-level constraints to prevent negative penalty values



Patching Guidance:

1. Contact SourceCodester for security updates or consider alternative solutions

2. Implement server-side validation: reject any penalty_rate values less than 0 before database insertion

3. Add input validation middleware that enforces business logic rules on the backend

4. Implement role-based access controls limiting loan plan creation to authorized personnel



Compensating Controls:

1. Deploy Web Application Firewall (WAF) rules to detect and block POST requests with negative penalty values

2. Implement API request logging and alerting for loan plan modifications

3. Require multi-factor authentication for admin accounts

4. Conduct monthly audits of loan plan configurations

5. Implement database triggers to reject negative penalty rate insertions



Detection Rules:

1. Monitor HTTP POST requests to loan plan endpoints for negative numeric values in penalty_rate parameter

2. Alert on any modification to existing loan plans by admin accounts

3. Track database INSERT/UPDATE operations on loan_plans table with penalty_rate < 0

4. Flag admin accounts accessing loan plan creation functionality outside business hours
🔧 خطوات المعالجة (العربية)
الإجراءات الفورية:

1. تدقيق جميع خطط القروض المنشأة في آخر 6 أشهر لتحديد أي منها بمعدلات عقوبة سالبة

2. تعطيل نظام إدارة القروض أو تقييد وصول المسؤول للموظفين الموثوقين فقط

3. مراجعة سجلات المعاملات للتعديلات المريبة على معدلات العقوبة

4. تنفيذ قيود على مستوى قاعدة البيانات لمنع قيم العقوبة السالبة



إرشادات التصحيح:

1. الاتصال بـ SourceCodester للحصول على تحديثات أمان أو النظر في حلول بديلة

2. تنفيذ التحقق من صحة الخادم: رفض أي قيم penalty_rate أقل من 0 قبل إدراج قاعدة البيانات

3. إضافة برنامج وسيط للتحقق من الإدخال يفرض قواعد منطق الأعمال على الخادم

4. تنفيذ التحكم في الوصول القائم على الأدوار يقيد إنشاء خطط القروض للموظفين المصرحين



الضوابط البديلة:

1. نشر قواعد جدار حماية تطبيقات الويب (WAF) للكشف عن طلبات POST بقيم عقوبة سالبة وحجبها

2. تنفيذ تسجيل التنبيهات لتعديلات خطة القروض

3. طلب المصادقة متعددة العوامل لحسابات المسؤول

4. إجراء تدقيق شهري لتكوينات خطة القروض

5. تنفيذ محفزات قاعدة البيانات لرفض إدراجات معدل العقوبة السالبة



قواعد الكشف:

1. مراقبة طلبات HTTP POST لنقاط نهاية خطة القروض للقيم الرقمية السالبة في معامل penalty_rate

2. التنبيه على أي تعديل لخطط القروض الموجودة من قبل حسابات المسؤول

3. تتبع عمليات INSERT/UPDATE على جدول loan_plans بـ penalty_rate < 0

4. وضع علامة على حسابات المسؤول التي تصل إلى وظيفة إنشاء خطة القروض خارج ساعات العمل
📋 خريطة الامتثال التنظيمي
🟢 NCA ECC 2024
ECC 2024 A.5.1.1 - Access Control: Inadequate backend validation violates principle of least privilege ECC 2024 A.5.2.1 - User Access Management: Admin accounts lack proper input validation controls ECC 2024 A.6.1.2 - Cryptography and Data Protection: Financial data integrity compromised by logic bypass ECC 2024 A.7.1.1 - Audit and Accountability: Insufficient logging of loan plan modifications
🔵 SAMA CSF
SAMA CSF Governance & Risk Management: Business logic vulnerabilities in financial systems violate risk management principles SAMA CSF Information & Cybersecurity: Inadequate input validation and server-side controls SAMA CSF Operational Resilience: System integrity compromised by manipulation of penalty calculations SAMA CSF Third-Party Risk: If system is outsourced, vendor security controls are insufficient
🟡 ISO 27001:2022
ISO 27001:2022 A.5.15 - Access Control: Insufficient validation of privileged user actions ISO 27001:2022 A.8.3 - Cryptography: Data integrity controls inadequate for financial transactions ISO 27001:2022 A.8.22 - Information Security Incident Management: Lack of detection mechanisms for exploitation ISO 27001:2022 A.8.32 - Change Management: No validation controls in change/creation processes
🟣 PCI DSS v4.0.1
PCI DSS 6.5.1 - Injection flaws: Business logic injection through unvalidated input PCI DSS 6.5.10 - Broken authentication/authorization: Admin access without proper input validation PCI DSS 10.2.1 - Audit trails: Insufficient logging of loan plan modifications PCI DSS 11.3 - Penetration testing: Logic vulnerabilities would be identified in security assessments
📦 المنتجات المتأثرة 1 منتج
oretnom23:loan_management_system:1.0
📊 CVSS Score
6.5
/ 10.0 — متوسط
📊 CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:H/A:N
Attack VectorN — None / Network
Attack ComplexityL — Low / Local
Privileges RequiredL — Low / Local
User InteractionN — None / Network
ScopeU — Unchanged
ConfidentialityN — None / Network
IntegrityH — High
AvailabilityN — None / Network
📋 حقائق سريعة
الخطورة متوسط
CVSS Score6.5
CWECWE-602
EPSS0.04%
اختراق متاح ✓ نعم
تصحيح متاح ✗ لا
تاريخ النشر 2026-04-01
المصدر nvd
المشاهدات 7
🇸🇦 درجة المخاطر السعودية
7.2
/ 10.0 — مخاطر السعودية
أولوية: HIGH
🏷️ الوسوم
exploit-available CWE-602
⚡ إجراءات
🔗 NVD Official Page ⚡ Exploit-DB Search 🐙 GitHub PoC Search 🎯 MITRE ATT&CK 📊 CVE Details
مشاركة ثغرة
LinkedIn X / Twitter WhatsApp Telegram

💬 التعليقات

0
جارٍ التحميل
📣 وجدت هذا مفيداً؟
شاركه مع شبكة الأمن السيبراني الخاصة بك
in لينكدإن 𝕏 تويتر 💬 واتساب ✈ تليجرام
🍪 إعدادات الخصوصية
سيزو للاستشارات — متوافق مع نظام حماية البيانات الشخصية السعودي (PDPL)
نستخدم ملفات تعريف الارتباط والتقنيات المشابهة لتوفير أفضل تجربة على منصتنا. يمكنك اختيار الأنواع التي تقبلها.
🔒
ملفات ضرورية Always On
مطلوبة لعمل الموقع بشكل صحيح. لا يمكن تعطيلها.
📋 الجلسات، CSRF، المصادقة، تفضيلات اللغة
📊
ملفات التحليلات
تساعدنا في فهم كيفية استخدام الزوار للموقع وتحسين الأداء.
📋 إحصائيات الصفحات، مدة الجلسة، مصدر الزيارة
⚙️
ملفات وظيفية
تتيح ميزات محسنة مثل تخصيص المحتوى والتفضيلات.
📋 السمة المظلمة/الفاتحة، حجم الخط، لوحات التحكم المخصصة
📣
ملفات تسويقية
تُستخدم لتقديم محتوى وإعلانات ذات صلة باهتماماتك.
📋 تتبع الحملات، إعادة الاستهداف، تحليلات وسائل التواصل
سياسة الخصوصية →
مساعد CISO الذكي
اسألني أي شيء · وثائق · دعم
🔐

عرّفنا بنفسك

أدخل بياناتك للوصول إلى المساعد الكامل

معلوماتك آمنة ولن تُشارك
💬
المساعد السيبراني
متصل — يرد في ثوانٍ
5 / 5
🔐 تحقق من هويتك

أدخل بريدك الإلكتروني لإرسال رمز تحقق قبل إرسال طلب الدعم.

Enter للإرسال · / للأوامر 0 / 2000
CISO AI · مدعوم بالذكاء الاصطناعي
✦ استطلاع سريع ساعدنا في تحسين منصة سيزو للاستشارات ملاحظاتك تشكّل مستقبل منصتنا — لا تستغرق سوى دقيقتين.
⚠ يرجى الإجابة على هذا السؤال للمتابعة

كيف تقيّم تجربتك العامة مع منصتنا؟

قيّم من 1 (ضعيف) إلى 5 (ممتاز)

🎉
شكراً جزيلاً!
تم تسجيل إجابتك بنجاح.