📧 info@ciso.sa | 📱 +966550939344 | الرياض، المملكة العربية السعودية
عن المنصة الأسئلة الشائعة اتصل بنا شروط الخدمة سياسة الخصوصية 🌐 English
🔐

مرحباً — سجّل دخولك أو أنشئ حساباً للوصول الكامل.

🔑 دخول ✨ حساب جديد
🌐 EN تسجيل الدخول إنشاء حساب
🔧 صيانة مجدولة — السبت 2:00-4:00 صباحاً. قد تكون بعض الميزات غير متاحة مؤقتاً.    ●   
💎
خطة Pro بخصم 50% احصل على جميع ميزات AI والتقارير غير المحدودة والدعم ذي الأولوية. الترقية الآن
مركز البحث
ESC للإغلاق
تنقل فتح Ctrl+K بحث
CISO Consulting
Global vulnerability تكنولوجيا المعلومات CRITICAL 54m Global supply_chain تطوير البرمجيات والتكنولوجيا HIGH 1h Global vulnerability تكنولوجيا المعلومات والاتصالات CRITICAL 1h Global apt الخدمات المالية والمصرفية HIGH 7h Global vulnerability قطاع التكنولوجيا وتطوير البرمجيات HIGH 10h Global vulnerability الحكومة والوكالات الفيدرالية CRITICAL 10h Global supply_chain تطوير البرمجيات والنظم البيئية مفتوحة المصدر HIGH 11h Global vulnerability برامج المؤسسات/البرامج كخدمة MEDIUM 11h Global supply_chain تطوير البرمجيات HIGH 12h Global general التأمين/إدارة المخاطر HIGH 12h Global vulnerability تكنولوجيا المعلومات CRITICAL 54m Global supply_chain تطوير البرمجيات والتكنولوجيا HIGH 1h Global vulnerability تكنولوجيا المعلومات والاتصالات CRITICAL 1h Global apt الخدمات المالية والمصرفية HIGH 7h Global vulnerability قطاع التكنولوجيا وتطوير البرمجيات HIGH 10h Global vulnerability الحكومة والوكالات الفيدرالية CRITICAL 10h Global supply_chain تطوير البرمجيات والنظم البيئية مفتوحة المصدر HIGH 11h Global vulnerability برامج المؤسسات/البرامج كخدمة MEDIUM 11h Global supply_chain تطوير البرمجيات HIGH 12h Global general التأمين/إدارة المخاطر HIGH 12h Global vulnerability تكنولوجيا المعلومات CRITICAL 54m Global supply_chain تطوير البرمجيات والتكنولوجيا HIGH 1h Global vulnerability تكنولوجيا المعلومات والاتصالات CRITICAL 1h Global apt الخدمات المالية والمصرفية HIGH 7h Global vulnerability قطاع التكنولوجيا وتطوير البرمجيات HIGH 10h Global vulnerability الحكومة والوكالات الفيدرالية CRITICAL 10h Global supply_chain تطوير البرمجيات والنظم البيئية مفتوحة المصدر HIGH 11h Global vulnerability برامج المؤسسات/البرامج كخدمة MEDIUM 11h Global supply_chain تطوير البرمجيات HIGH 12h Global general التأمين/إدارة المخاطر HIGH 12h
الثغرات

CVE-2026-31350

متوسط ⚡ اختراق متاح
CWE-79 — نوع الضعف
نُشر: Apr 6, 2026  ·  آخر تحديث: Apr 9, 2026  ·  المصدر: NVD
CVSS v3
5.4
🔗 NVD الرسمي
📄 الوصف (الإنجليزية)

An authenticated stored cross-site scripting (XSS) vulnerability in Feehi CMS v2.1.1 allows attackers to execute arbitrary web scripts or HTML via injecting a crafted payload into the Page Sign parameter.

🤖 ملخص AI

CVE-2026-31350 is an authenticated stored XSS vulnerability in Feehi CMS v2.1.1 affecting the Page Sign parameter with a CVSS score of 5.4. While requiring authentication, the vulnerability allows attackers to inject malicious scripts that persist in the application, potentially compromising user sessions and data. With exploit availability and no patch currently available, immediate compensating controls are essential for organizations using this CMS.

📄 الوصف (العربية)

🤖 التحليل الذكي آخر تحليل: May 28, 2026 02:40
🇸🇦 التأثير على المملكة العربية السعودية
This vulnerability primarily impacts Saudi organizations using Feehi CMS for content management, particularly in government agencies, educational institutions, and small-to-medium enterprises managing public-facing websites. Government entities under NCA oversight and organizations handling citizen data face elevated risk. The stored XSS nature means compromised content affects all users accessing the CMS, potentially leading to credential theft, malware distribution, or unauthorized data access. Healthcare and financial services sectors using this CMS for patient/customer portals are at particular risk.
🏢 القطاعات السعودية المتأثرة
Government Education Healthcare Small-to-Medium Enterprises Public Information Services
⚖️ درجة المخاطر السعودية (AI)
6.2
/ 10.0
🔧 Remediation Steps (English)
IMMEDIATE ACTIONS:

1. Audit all Feehi CMS v2.1.1 instances in your environment and document their criticality

2. Restrict administrative access to CMS to trusted networks only using firewall rules

3. Implement Web Application Firewall (WAF) rules to block XSS payloads in the Page Sign parameter

4. Review audit logs for suspicious Page Sign parameter modifications



COMPENSATING CONTROLS:

5. Disable the Page Sign feature if not operationally required

6. Implement Content Security Policy (CSP) headers with strict script-src directives

7. Enable HTML encoding/sanitization for all user-supplied input in the Page Sign field

8. Enforce strong authentication (MFA) for all CMS administrative accounts

9. Implement input validation regex to reject special characters in Page Sign parameter



DETECTION:

10. Monitor for POST/PUT requests to Page Sign parameter containing: <script>, javascript:, onerror=, onload=, event handlers

11. Alert on any modifications to Page Sign parameter by non-administrative accounts

12. Log all CMS administrative activities for forensic review



UPGRADE PLANNING:

13. Contact Feehi vendor for patch timeline and security advisory

14. Evaluate migration to alternative CMS solutions if patch timeline exceeds 90 days

15. Implement version control and staging environment testing before any updates
🔧 خطوات المعالجة (العربية)
الإجراءات الفورية:

1. تدقيق جميع نسخ Feehi CMS v2.1.1 في بيئتك وتوثيق أهميتها

2. تقييد الوصول الإداري إلى CMS للشبكات الموثوقة فقط باستخدام قواعد جدار الحماية

3. تطبيق قواعد جدار تطبيقات الويب (WAF) لحجب حمولات XSS في معامل Page Sign

4. مراجعة سجلات التدقيق للتعديلات المريبة على معامل Page Sign



الضوابط التعويضية:

5. تعطيل ميزة Page Sign إذا لم تكن مطلوبة تشغيلياً

6. تطبيق رؤوس سياسة أمان المحتوى (CSP) مع توجيهات script-src صارمة

7. تفعيل ترميز/تنظيف HTML لجميع المدخلات المزودة من قبل المستخدم في حقل Page Sign

8. فرض المصادقة القوية (MFA) لجميع حسابات CMS الإدارية

9. تطبيق التحقق من صحة الإدخال للرفض الأحرف الخاصة في معامل Page Sign



الكشف:

10. مراقبة طلبات POST/PUT إلى معامل Page Sign تحتوي على: <script>، javascript:، onerror=، onload=، معالجات الأحداث

11. تنبيه على أي تعديلات على معامل Page Sign من قبل حسابات غير إدارية

12. تسجيل جميع أنشطة CMS الإدارية للمراجعة الجنائية



تخطيط الترقية:

13. التواصل مع بائع Feehi للحصول على جدول زمني للتصحيح والمشورة الأمنية

14. تقييم الهجرة إلى حلول CMS بديلة إذا تجاوز جدول التصحيح 90 يوماً

15. تطبيق التحكم في الإصدارات واختبار بيئة التجميع قبل أي تحديثات
📋 خريطة الامتثال التنظيمي
🟢 NCA ECC 2024
A.14.2.1 - Secure development policy and procedures A.14.2.5 - Secure development environment A.12.6.1 - Management of technical vulnerabilities A.12.2.1 - Monitoring and logging of access
🔵 SAMA CSF
ID.GV-1 - Organizational processes to manage cybersecurity risk PR.DS-1 - Data security and privacy protections PR.IP-1 - System development and acquisition processes DE.CM-1 - Detection and analysis of anomalies
🟡 ISO 27001:2022
A.14.2.1 - Secure development policy A.14.2.5 - Secure development environment A.12.6.1 - Management of technical vulnerabilities A.12.2.1 - User access logging and monitoring
🟣 PCI DSS v4.0.1
6.2 - Security patches and updates 6.5.7 - Cross-site scripting prevention 10.2 - User access logging
📦 المنتجات المتأثرة 1 منتج
feehi:feehi_cms:2.1.1
📊 CVSS Score
5.4
/ 10.0 — متوسط
📊 CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N
Attack VectorN — None / Network
Attack ComplexityL — Low / Local
Privileges RequiredL — Low / Local
User InteractionR — Required
ScopeC — Changed
ConfidentialityL — Low / Local
IntegrityL — Low / Local
AvailabilityN — None / Network
📋 حقائق سريعة
الخطورة متوسط
CVSS Score5.4
CWECWE-79
EPSS0.02%
اختراق متاح ✓ نعم
تصحيح متاح ✗ لا
تاريخ النشر 2026-04-06
المصدر nvd
المشاهدات 6
🇸🇦 درجة المخاطر السعودية
6.2
/ 10.0 — مخاطر السعودية
أولوية: HIGH
🏷️ الوسوم
exploit-available CWE-79
⚡ إجراءات
🔗 NVD Official Page ⚡ Exploit-DB Search 🐙 GitHub PoC Search 🎯 MITRE ATT&CK 📊 CVE Details
مشاركة ثغرة
LinkedIn X / Twitter WhatsApp Telegram
📣 وجدت هذا مفيداً؟
شاركه مع شبكة الأمن السيبراني الخاصة بك
in لينكدإن 𝕏 تويتر 💬 واتساب ✈ تليجرام
🍪 إعدادات الخصوصية
سيزو للاستشارات — متوافق مع نظام حماية البيانات الشخصية السعودي (PDPL)
نستخدم ملفات تعريف الارتباط والتقنيات المشابهة لتوفير أفضل تجربة على منصتنا. يمكنك اختيار الأنواع التي تقبلها.
🔒
ملفات ضرورية Always On
مطلوبة لعمل الموقع بشكل صحيح. لا يمكن تعطيلها.
📋 الجلسات، CSRF، المصادقة، تفضيلات اللغة
📊
ملفات التحليلات
تساعدنا في فهم كيفية استخدام الزوار للموقع وتحسين الأداء.
📋 إحصائيات الصفحات، مدة الجلسة، مصدر الزيارة
⚙️
ملفات وظيفية
تتيح ميزات محسنة مثل تخصيص المحتوى والتفضيلات.
📋 السمة المظلمة/الفاتحة، حجم الخط، لوحات التحكم المخصصة
📣
ملفات تسويقية
تُستخدم لتقديم محتوى وإعلانات ذات صلة باهتماماتك.
📋 تتبع الحملات، إعادة الاستهداف، تحليلات وسائل التواصل
سياسة الخصوصية →
مساعد CISO الذكي
اسألني أي شيء · وثائق · دعم
🔐

عرّفنا بنفسك

أدخل بياناتك للوصول إلى المساعد الكامل

معلوماتك آمنة ولن تُشارك
💬
المساعد السيبراني
متصل — يرد في ثوانٍ
5 / 5
🔐 تحقق من هويتك

أدخل بريدك الإلكتروني لإرسال رمز تحقق قبل إرسال طلب الدعم.

Enter للإرسال · / للأوامر 0 / 2000
CISO AI · مدعوم بالذكاء الاصطناعي
✦ استطلاع سريع ساعدنا في تحسين منصة سيزو للاستشارات ملاحظاتك تشكّل مستقبل منصتنا — لا تستغرق سوى دقيقتين.
⚠ يرجى الإجابة على هذا السؤال للمتابعة

كيف تقيّم تجربتك العامة مع منصتنا؟

قيّم من 1 (ضعيف) إلى 5 (ممتاز)

🎉
شكراً جزيلاً!
تم تسجيل إجابتك بنجاح.