📧 info@ciso.sa | 📱 +966550939344 | الرياض، المملكة العربية السعودية
عن المنصة الأسئلة الشائعة اتصل بنا شروط الخدمة سياسة الخصوصية 🌐 English
🔐

مرحباً — سجّل دخولك أو أنشئ حساباً للوصول الكامل.

🔑 دخول ✨ حساب جديد
🌐 EN تسجيل الدخول إنشاء حساب
🔧 صيانة مجدولة — السبت 2:00-4:00 صباحاً. قد تكون بعض الميزات غير متاحة مؤقتاً.    ●   
💎
خطة Pro بخصم 50% احصل على جميع ميزات AI والتقارير غير المحدودة والدعم ذي الأولوية. الترقية الآن
مركز البحث
ESC للإغلاق
تنقل فتح Ctrl+K بحث
CISO Consulting
Global insider التعليم HIGH 1h Global supply_chain تطوير البرمجيات والتكنولوجيا HIGH 6h Global apt الحكومة والبنية التحتية الحرجة CRITICAL 8h Global vulnerability برامج المؤسسات / تحليل البيانات CRITICAL 9h Global vulnerability الذكاء الاصطناعي والتكنولوجيا HIGH 12h Global general قطاع التكنولوجيا والذكاء الاصطناعي MEDIUM 16h Global general قطاع التكنولوجيا والذكاء الاصطناعي HIGH 17h Global vulnerability التعليم العالي CRITICAL 1d Global data_breach القطاع الحكومي HIGH 1d Global supply_chain تطوير البرمجيات والمجتمعات مفتوحة المصدر CRITICAL 1d Global insider التعليم HIGH 1h Global supply_chain تطوير البرمجيات والتكنولوجيا HIGH 6h Global apt الحكومة والبنية التحتية الحرجة CRITICAL 8h Global vulnerability برامج المؤسسات / تحليل البيانات CRITICAL 9h Global vulnerability الذكاء الاصطناعي والتكنولوجيا HIGH 12h Global general قطاع التكنولوجيا والذكاء الاصطناعي MEDIUM 16h Global general قطاع التكنولوجيا والذكاء الاصطناعي HIGH 17h Global vulnerability التعليم العالي CRITICAL 1d Global data_breach القطاع الحكومي HIGH 1d Global supply_chain تطوير البرمجيات والمجتمعات مفتوحة المصدر CRITICAL 1d Global insider التعليم HIGH 1h Global supply_chain تطوير البرمجيات والتكنولوجيا HIGH 6h Global apt الحكومة والبنية التحتية الحرجة CRITICAL 8h Global vulnerability برامج المؤسسات / تحليل البيانات CRITICAL 9h Global vulnerability الذكاء الاصطناعي والتكنولوجيا HIGH 12h Global general قطاع التكنولوجيا والذكاء الاصطناعي MEDIUM 16h Global general قطاع التكنولوجيا والذكاء الاصطناعي HIGH 17h Global vulnerability التعليم العالي CRITICAL 1d Global data_breach القطاع الحكومي HIGH 1d Global supply_chain تطوير البرمجيات والمجتمعات مفتوحة المصدر CRITICAL 1d
الثغرات

CVE-2026-40583

مرتفع ⚡ اختراق متاح
CWE-460 — نوع الضعف
نُشر: Apr 21, 2026  ·  آخر تحديث: Apr 28, 2026  ·  المصدر: NVD
CVSS v3
8.2
🔗 NVD الرسمي
📄 الوصف (الإنجليزية)

UltraDAG is a minimal DAG-BFT blockchain in Rust. In version 0.1, a non-council attacker can submit a signed SmartOp::Vote transaction that passes signature, nonce, and balance prechecks, but fails authorization only after state mutation has already occurred.

🤖 ملخص AI

UltraDAG v0.1 contains a critical authorization bypass vulnerability (CVE-2026-40583) where non-council attackers can submit fraudulent SmartOp::Vote transactions that pass initial validation checks but fail authorization after state mutations occur. This allows attackers to manipulate blockchain state and voting mechanisms without proper permissions. The vulnerability affects blockchain infrastructure with CVSS 8.2 and has publicly available exploits, requiring immediate patching for any Saudi organizations utilizing this technology.

📄 الوصف (العربية)

🤖 التحليل الذكي آخر تحليل: Apr 27, 2026 19:25
🇸🇦 التأثير على المملكة العربية السعودية
This vulnerability poses significant risk to Saudi financial institutions and government entities exploring blockchain technology for digital transformation initiatives. SAMA-regulated banks and fintech companies implementing UltraDAG for settlement or voting mechanisms face critical risks of unauthorized state manipulation and transaction fraud. Government agencies (NCA, CITC) utilizing blockchain for identity management or regulatory systems could experience compromised voting integrity and unauthorized access. Energy sector applications (ARAMCO blockchain initiatives) and telecom operators (STC) implementing distributed ledger technology are at risk of operational disruption and data integrity violations. The vulnerability is particularly dangerous in consortium blockchain scenarios common in Saudi Arabia's Vision 2030 digital initiatives.
🏢 القطاعات السعودية المتأثرة
Banking and Financial Services Government and Public Administration Healthcare and Medical Services Energy and Utilities Telecommunications Digital Identity and Authentication Supply Chain and Logistics Real Estate and Property Management
⚖️ درجة المخاطر السعودية (AI)
8.7
/ 10.0
🔧 Remediation Steps (English)
IMMEDIATE ACTIONS:

1. Identify all systems running UltraDAG v0.1.0 across your organization

2. Isolate affected blockchain nodes from production networks immediately

3. Disable SmartOp::Vote transaction processing until patching is complete

4. Review blockchain transaction logs for suspicious vote transactions from non-council addresses



PATCHING GUIDANCE:

1. Apply available patch to upgrade from v0.1.0 to patched version immediately

2. Verify patch integrity using official UltraDAG release signatures

3. Test patch in isolated environment before production deployment

4. Implement staged rollout with monitoring for transaction anomalies



COMPENSATING CONTROLS (if patch unavailable):

1. Implement strict network segmentation isolating UltraDAG nodes

2. Deploy transaction validation middleware that re-validates authorization before state commitment

3. Enable comprehensive audit logging of all SmartOp::Vote transactions

4. Implement manual approval workflow for council voting operations



DETECTION RULES:

1. Alert on SmartOp::Vote transactions from non-council addresses

2. Monitor for authorization failures occurring after state mutations

3. Track nonce anomalies and signature validation patterns

4. Flag transactions with balance prechecks passing but authorization failing
🔧 خطوات المعالجة (العربية)
الإجراءات الفورية:

1. تحديد جميع الأنظمة التي تعمل بـ UltraDAG v0.1.0 عبر مؤسستك

2. عزل عقد البلوكتشين المتأثرة عن شبكات الإنتاج فورًا

3. تعطيل معالجة معاملات SmartOp::Vote حتى اكتمال التصحيح

4. مراجعة سجلات معاملات البلوكتشين للبحث عن معاملات تصويت مريبة من عناوين غير المجلس



إرشادات التصحيح:

1. تطبيق التصحيح المتاح للترقية من v0.1.0 إلى الإصدار المصحح فورًا

2. التحقق من سلامة التصحيح باستخدام توقيعات الإصدار الرسمية لـ UltraDAG

3. اختبار التصحيح في بيئة معزولة قبل نشر الإنتاج

4. تنفيذ طرح مرحلي مع المراقبة لشذوذ المعاملات



الضوابط التعويضية (إذا لم يكن التصحيح متاحًا):

1. تنفيذ تقسيم شبكة صارم يعزل عقد UltraDAG

2. نشر برنامج وسيط للتحقق من صحة المعاملات يعيد التحقق من التفويض قبل التزام الحالة

3. تفعيل تسجيل التدقيق الشامل لجميع معاملات SmartOp::Vote

4. تنفيذ سير عمل الموافقة اليدوية لعمليات التصويت في المجلس



قواعد الكشف:

1. تنبيه معاملات SmartOp::Vote من عناوين غير المجلس

2. مراقبة فشل التفويض الذي يحدث بعد طفرات الحالة

3. تتبع شذوذ nonce وأنماط التحقق من التوقيع

4. وضع علامة على المعاملات التي تمر بفحوصات الرصيد لكن التفويض يفشل
📋 خريطة الامتثال التنظيمي
🟢 NCA ECC 2024
ECC 2024 A.5.1.1 - Access Control Policies (authorization bypass) ECC 2024 A.5.2.1 - User Registration and Access Management (non-council access) ECC 2024 A.8.2.1 - Classification of Information (state mutation integrity) ECC 2024 A.12.4.1 - Event Logging (transaction audit trails) ECC 2024 A.14.2.1 - Information Security Requirements in Third-party Agreements (blockchain vendor security)
🔵 SAMA CSF
SAMA CSF ID.AM-2 - Asset Management (blockchain infrastructure inventory) SAMA CSF PR.AC-1 - Access Control (authorization mechanisms) SAMA CSF PR.DS-1 - Data Security (state integrity) SAMA CSF DE.AE-1 - Anomalies and Events (transaction monitoring) SAMA CSF RC.RP-1 - Recovery Planning (blockchain rollback procedures)
🟡 ISO 27001:2022
ISO 27001:2022 A.5.2 - Information Security Policies (access control policy) ISO 27001:2022 A.6.2 - Internal Organization (roles and responsibilities) ISO 27001:2022 A.8.2 - Asset Management (blockchain asset tracking) ISO 27001:2022 A.9.2 - User Access Management (authorization controls) ISO 27001:2022 A.12.4 - Logging (audit trail requirements)
🟣 PCI DSS v4.0.1
PCI DSS 3.2.1 - Access Control (authorization enforcement) PCI DSS 7.1 - Limit Access to System Components (role-based access) PCI DSS 10.2 - Implement Automated Audit Trails (transaction logging) PCI DSS 10.3 - Protect Audit Trail History (log integrity)
📦 المنتجات المتأثرة 1 منتج
ultradag:ultradag:0.1.0
📊 CVSS Score
8.2
/ 10.0 — مرتفع
📊 CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:L/A:H
Attack VectorN — None / Network
Attack ComplexityL — Low / Local
Privileges RequiredN — None / Network
User InteractionN — None / Network
ScopeU — Unchanged
ConfidentialityN — None / Network
IntegrityL — Low / Local
AvailabilityH — High
📋 حقائق سريعة
الخطورة مرتفع
CVSS Score8.2
CWECWE-460
EPSS0.06%
اختراق متاح ✓ نعم
تصحيح متاح ✓ نعم
تاريخ النشر 2026-04-21
المصدر nvd
المشاهدات 2
🇸🇦 درجة المخاطر السعودية
8.7
/ 10.0 — مخاطر السعودية
أولوية: CRITICAL
🏷️ الوسوم
exploit-available patch-available CWE-460
🏢 توجيهات البائع
🔗 https://github.com/UltraDAGcom/core/security/advisor... 🔗 https://github.com/UltraDAGcom/core/security/advisor...
⚡ إجراءات
🔗 NVD Official Page ⚡ Exploit-DB Search 🐙 GitHub PoC Search 🎯 MITRE ATT&CK 📊 CVE Details
مشاركة ثغرة
LinkedIn X / Twitter WhatsApp Telegram

💬 التعليقات

0
جارٍ التحميل
📣 وجدت هذا مفيداً؟
شاركه مع شبكة الأمن السيبراني الخاصة بك
in لينكدإن 𝕏 تويتر 💬 واتساب ✈ تليجرام
🍪 إعدادات الخصوصية
سيزو للاستشارات — متوافق مع نظام حماية البيانات الشخصية السعودي (PDPL)
نستخدم ملفات تعريف الارتباط والتقنيات المشابهة لتوفير أفضل تجربة على منصتنا. يمكنك اختيار الأنواع التي تقبلها.
🔒
ملفات ضرورية Always On
مطلوبة لعمل الموقع بشكل صحيح. لا يمكن تعطيلها.
📋 الجلسات، CSRF، المصادقة، تفضيلات اللغة
📊
ملفات التحليلات
تساعدنا في فهم كيفية استخدام الزوار للموقع وتحسين الأداء.
📋 إحصائيات الصفحات، مدة الجلسة، مصدر الزيارة
⚙️
ملفات وظيفية
تتيح ميزات محسنة مثل تخصيص المحتوى والتفضيلات.
📋 السمة المظلمة/الفاتحة، حجم الخط، لوحات التحكم المخصصة
📣
ملفات تسويقية
تُستخدم لتقديم محتوى وإعلانات ذات صلة باهتماماتك.
📋 تتبع الحملات، إعادة الاستهداف، تحليلات وسائل التواصل
سياسة الخصوصية →
مساعد CISO الذكي
اسألني أي شيء · وثائق · دعم
🔐

عرّفنا بنفسك

أدخل بياناتك للوصول إلى المساعد الكامل

معلوماتك آمنة ولن تُشارك
💬
المساعد السيبراني
متصل — يرد في ثوانٍ
5 / 5
🔐 تحقق من هويتك

أدخل بريدك الإلكتروني لإرسال رمز تحقق قبل إرسال طلب الدعم.

Enter للإرسال · / للأوامر 0 / 2000
CISO AI · مدعوم بالذكاء الاصطناعي
✦ استطلاع سريع ساعدنا في تحسين منصة سيزو للاستشارات ملاحظاتك تشكّل مستقبل منصتنا — لا تستغرق سوى دقيقتين.
⚠ يرجى الإجابة على هذا السؤال للمتابعة

كيف تقيّم تجربتك العامة مع منصتنا؟

قيّم من 1 (ضعيف) إلى 5 (ممتاز)

🎉
شكراً جزيلاً!
تم تسجيل إجابتك بنجاح.