📧 info@ciso.sa | 📱 +966550939344 | الرياض، المملكة العربية السعودية
عن المنصة الأسئلة الشائعة اتصل بنا شروط الخدمة سياسة الخصوصية 🌐 English
🔐

مرحباً — سجّل دخولك أو أنشئ حساباً للوصول الكامل.

🔑 دخول ✨ حساب جديد
🌐 EN تسجيل الدخول إنشاء حساب
🔧 صيانة مجدولة — السبت 2:00-4:00 صباحاً. قد تكون بعض الميزات غير متاحة مؤقتاً.    ●   
💎
خطة Pro بخصم 50% احصل على جميع ميزات AI والتقارير غير المحدودة والدعم ذي الأولوية. الترقية الآن
مركز البحث
ESC للإغلاق
تنقل فتح Ctrl+K بحث
CISO Consulting
Global insider التعليم HIGH 4h Global supply_chain تطوير البرمجيات والتكنولوجيا HIGH 9h Global apt الحكومة والبنية التحتية الحرجة CRITICAL 11h Global vulnerability برامج المؤسسات / تحليل البيانات CRITICAL 12h Global vulnerability الذكاء الاصطناعي والتكنولوجيا HIGH 15h Global general قطاع التكنولوجيا والذكاء الاصطناعي MEDIUM 19h Global general قطاع التكنولوجيا والذكاء الاصطناعي HIGH 20h Global vulnerability التعليم العالي CRITICAL 1d Global data_breach القطاع الحكومي HIGH 1d Global supply_chain تطوير البرمجيات والمجتمعات مفتوحة المصدر CRITICAL 1d Global insider التعليم HIGH 4h Global supply_chain تطوير البرمجيات والتكنولوجيا HIGH 9h Global apt الحكومة والبنية التحتية الحرجة CRITICAL 11h Global vulnerability برامج المؤسسات / تحليل البيانات CRITICAL 12h Global vulnerability الذكاء الاصطناعي والتكنولوجيا HIGH 15h Global general قطاع التكنولوجيا والذكاء الاصطناعي MEDIUM 19h Global general قطاع التكنولوجيا والذكاء الاصطناعي HIGH 20h Global vulnerability التعليم العالي CRITICAL 1d Global data_breach القطاع الحكومي HIGH 1d Global supply_chain تطوير البرمجيات والمجتمعات مفتوحة المصدر CRITICAL 1d Global insider التعليم HIGH 4h Global supply_chain تطوير البرمجيات والتكنولوجيا HIGH 9h Global apt الحكومة والبنية التحتية الحرجة CRITICAL 11h Global vulnerability برامج المؤسسات / تحليل البيانات CRITICAL 12h Global vulnerability الذكاء الاصطناعي والتكنولوجيا HIGH 15h Global general قطاع التكنولوجيا والذكاء الاصطناعي MEDIUM 19h Global general قطاع التكنولوجيا والذكاء الاصطناعي HIGH 20h Global vulnerability التعليم العالي CRITICAL 1d Global data_breach القطاع الحكومي HIGH 1d Global supply_chain تطوير البرمجيات والمجتمعات مفتوحة المصدر CRITICAL 1d
الثغرات

CVE-2026-34427

مرتفع
CWE-915 — نوع الضعف
نُشر: Apr 20, 2026  ·  آخر تحديث: Apr 27, 2026  ·  المصدر: NVD
CVSS v3
8.8
🔗 NVD الرسمي
📄 الوصف (الإنجليزية)

Vvveb prior to 1.0.8.1 contains a privilege escalation vulnerability in the admin user profile save endpoint that allows authenticated users to modify privileged fields on their own profile. Attackers can inject role_id=1 into profile save requests to escalate to Super Administrator privileges, enabling plugin upload functionality for remote code execution.

🤖 ملخص AI

CVE-2026-34427 is a critical privilege escalation vulnerability in Vvveb CMS prior to version 1.0.8.1 that allows authenticated users to escalate their privileges to Super Administrator by injecting role_id=1 parameters in profile save requests. This vulnerability enables attackers to upload malicious plugins and achieve remote code execution on affected systems. With a CVSS score of 8.8 and no patch currently available, this poses an immediate threat to organizations using vulnerable Vvveb installations.

📄 الوصف (العربية)

🤖 التحليل الذكي آخر تحليل: Apr 23, 2026 05:22
🇸🇦 التأثير على المملكة العربية السعودية
This vulnerability poses significant risk to Saudi organizations using Vvveb CMS, particularly in: Government agencies and municipalities using Vvveb for content management portals; Small to medium-sized enterprises (SMEs) in retail, hospitality, and e-commerce sectors; Educational institutions managing web content; Healthcare facilities with web-based patient information systems. The privilege escalation to Super Administrator combined with plugin upload capability creates a direct path to complete system compromise, potentially exposing sensitive citizen data, government information, and critical business operations. Organizations in the Kingdom relying on Vvveb for public-facing or internal systems face immediate risk of data breach and operational disruption.
🏢 القطاعات السعودية المتأثرة
Government and Public Administration Education Healthcare Retail and E-commerce Hospitality and Tourism Small and Medium Enterprises (SMEs) Non-profit Organizations
⚖️ درجة المخاطر السعودية (AI)
8.5
/ 10.0
🔧 Remediation Steps (English)
IMMEDIATE ACTIONS:

1. Identify all Vvveb installations in your environment and document their versions

2. Restrict access to admin user profile endpoints using WAF rules or network segmentation

3. Implement strict input validation on all profile save requests to reject role_id parameters

4. Monitor authentication logs for suspicious privilege escalation attempts

5. Review user accounts for unauthorized privilege escalations (check for users with role_id=1 who should not have Super Administrator access)



COMPENSATING CONTROLS (until patch available):

6. Disable plugin upload functionality at the application level if not required

7. Implement role-based access control (RBAC) enforcement at the database layer

8. Deploy Web Application Firewall (WAF) rules to block requests containing 'role_id' parameters in POST/PUT requests to profile endpoints

9. Implement request signing or CSRF tokens to prevent parameter injection

10. Enable detailed audit logging for all profile modification attempts



DETECTION RULES:

- Alert on POST/PUT requests to /admin/profile or similar endpoints containing 'role_id' parameter

- Monitor for users transitioning from non-admin to admin roles without authorization workflow

- Flag any profile save requests with role_id values other than the authenticated user's current role

- Track failed and successful authentication attempts followed by profile modifications



PATCHING:

11. Upgrade to Vvveb 1.0.8.1 or later immediately upon release

12. Test patches in non-production environment before deployment

13. Plan emergency patching window for production systems
🔧 خطوات المعالجة (العربية)
الإجراءات الفورية:

1. تحديد جميع تثبيتات Vvveb في بيئتك وتوثيق إصداراتها

2. تقييد الوصول إلى نقاط نهاية ملف المستخدم الإداري باستخدام قواعد جدار الحماية أو تقسيم الشبكة

3. تنفيذ التحقق الصارم من المدخلات على جميع طلبات حفظ الملف الشخصي لرفض معاملات role_id

4. مراقبة سجلات المصادقة للكشف عن محاولات تصعيد امتيازات مريبة

5. مراجعة حسابات المستخدمين للتحقق من تصعيد الامتيازات غير المصرح به



الضوابط البديلة (حتى توفر التصحيح):

6. تعطيل وظيفة تحميل المكونات الإضافية على مستوى التطبيق إذا لم تكن مطلوبة

7. تنفيذ التحكم في الوصول القائم على الأدوار (RBAC) على مستوى قاعدة البيانات

8. نشر قواعد جدار حماية تطبيقات الويب (WAF) لحظر الطلبات التي تحتوي على معاملات 'role_id' في طلبات POST/PUT إلى نقاط نهاية الملف الشخصي

9. تنفيذ توقيع الطلب أو رموز CSRF لمنع حقن المعاملات

10. تفعيل تسجيل التدقيق التفصيلي لجميع محاولات تعديل الملف الشخصي



قواعد الكشف:

- تنبيه على طلبات POST/PUT إلى نقاط نهاية الملف الشخصي تحتوي على معامل 'role_id'

- مراقبة انتقال المستخدمين من أدوار غير إدارية إلى أدوار إدارية بدون سير عمل تفويض

- وضع علم على أي طلبات حفظ ملف شخصي بقيم role_id بخلاف دور المستخدم الحالي المصرح له

- تتبع محاولات المصادقة الفاشلة والناجحة متبوعة بتعديلات الملف الشخصي



التصحيح:

11. الترقية إلى Vvveb 1.0.8.1 أو إصدار أحدث فوراً عند إصداره

12. اختبار التصحيحات في بيئة غير الإنتاج قبل النشر

13. التخطيط لنافذة تصحيح طارئة لأنظمة الإنتاج
📋 خريطة الامتثال التنظيمي
🟢 NCA ECC 2024
ECC 2024 A.5.1.1 - Access Control Policy (privilege escalation violates least privilege principle) ECC 2024 A.5.2.1 - User Registration and Access Rights Management (unauthorized privilege elevation) ECC 2024 A.5.3.1 - Management of Privileged Access Rights (Super Admin access control) ECC 2024 A.8.2.1 - User Access Management (authentication and authorization controls) ECC 2024 A.12.4.1 - Event Logging (detection and monitoring of privilege escalation attempts)
🔵 SAMA CSF
SAMA CSF ID.AM-1 - Asset Management (inventory of Vvveb systems) SAMA CSF PR.AC-1 - Access Control Policy (privilege management) SAMA CSF PR.AC-4 - Access Rights (role-based access control enforcement) SAMA CSF DE.CM-1 - Detection Processes (monitoring for unauthorized privilege changes) SAMA CSF RS.MI-2 - Incident Response (containment of privilege escalation)
🟡 ISO 27001:2022
ISO 27001:2022 A.5.2 - Information Security Policies and Procedures (access control policy) ISO 27001:2022 A.6.2 - Internal Organization (segregation of duties) ISO 27001:2022 A.8.2 - User Access Management (user registration, access rights, privilege management) ISO 27001:2022 A.8.3 - User Responsibilities (password management, access control) ISO 27001:2022 A.8.4 - Access Control (implementation of access control) ISO 27001:2022 A.12.4 - Logging (user activity logging and monitoring)
📊 CVSS Score
8.8
/ 10.0 — مرتفع
📊 CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H
Attack VectorN — None / Network
Attack ComplexityL — Low / Local
Privileges RequiredL — Low / Local
User InteractionN — None / Network
ScopeU — Unchanged
ConfidentialityH — High
IntegrityH — High
AvailabilityH — High
📋 حقائق سريعة
الخطورة مرتفع
CVSS Score8.8
CWECWE-915
EPSS0.30%
اختراق متاح لا
تصحيح متاح ✗ لا
تاريخ النشر 2026-04-20
المصدر nvd
🇸🇦 درجة المخاطر السعودية
8.5
/ 10.0 — مخاطر السعودية
أولوية: CRITICAL
🏷️ الوسوم
CWE-915
⚡ إجراءات
🔗 NVD Official Page ⚡ Exploit-DB Search 🐙 GitHub PoC Search 🎯 MITRE ATT&CK 📊 CVE Details
مشاركة ثغرة
LinkedIn X / Twitter WhatsApp Telegram

💬 التعليقات

0
جارٍ التحميل
📣 وجدت هذا مفيداً؟
شاركه مع شبكة الأمن السيبراني الخاصة بك
in لينكدإن 𝕏 تويتر 💬 واتساب ✈ تليجرام
🍪 إعدادات الخصوصية
سيزو للاستشارات — متوافق مع نظام حماية البيانات الشخصية السعودي (PDPL)
نستخدم ملفات تعريف الارتباط والتقنيات المشابهة لتوفير أفضل تجربة على منصتنا. يمكنك اختيار الأنواع التي تقبلها.
🔒
ملفات ضرورية Always On
مطلوبة لعمل الموقع بشكل صحيح. لا يمكن تعطيلها.
📋 الجلسات، CSRF، المصادقة، تفضيلات اللغة
📊
ملفات التحليلات
تساعدنا في فهم كيفية استخدام الزوار للموقع وتحسين الأداء.
📋 إحصائيات الصفحات، مدة الجلسة، مصدر الزيارة
⚙️
ملفات وظيفية
تتيح ميزات محسنة مثل تخصيص المحتوى والتفضيلات.
📋 السمة المظلمة/الفاتحة، حجم الخط، لوحات التحكم المخصصة
📣
ملفات تسويقية
تُستخدم لتقديم محتوى وإعلانات ذات صلة باهتماماتك.
📋 تتبع الحملات، إعادة الاستهداف، تحليلات وسائل التواصل
سياسة الخصوصية →
مساعد CISO الذكي
اسألني أي شيء · وثائق · دعم
🔐

عرّفنا بنفسك

أدخل بياناتك للوصول إلى المساعد الكامل

معلوماتك آمنة ولن تُشارك
💬
المساعد السيبراني
متصل — يرد في ثوانٍ
5 / 5
🔐 تحقق من هويتك

أدخل بريدك الإلكتروني لإرسال رمز تحقق قبل إرسال طلب الدعم.

Enter للإرسال · / للأوامر 0 / 2000
CISO AI · مدعوم بالذكاء الاصطناعي
✦ استطلاع سريع ساعدنا في تحسين منصة سيزو للاستشارات ملاحظاتك تشكّل مستقبل منصتنا — لا تستغرق سوى دقيقتين.
⚠ يرجى الإجابة على هذا السؤال للمتابعة

كيف تقيّم تجربتك العامة مع منصتنا؟

قيّم من 1 (ضعيف) إلى 5 (ممتاز)

🎉
شكراً جزيلاً!
تم تسجيل إجابتك بنجاح.