الثغرات ›

CVE-2026-40814

مرتفع

CWE-89 — نوع الضعف

                    نُشر: May 27, 2026                      ·  آخر تحديث: Jun 3, 2026                      ·  المصدر: NVD                

CVSS v3

7.5

🔗 NVD الرسمي

📄 الوصف (الإنجليزية)

An unauthenticated remote attacker can exploit an unauthenticated SQL Injection vulnerability in the dataapi.php files _mb24confi_getTagAlarm function due to improper neutralization of special elements in a SQL SELECT command. This can result in a total loss of confidentiality.

🤖 ملخص AI

CVE-2026-40814 is an unauthenticated SQL injection vulnerability in dataapi.php's _mb24confi_getTagAlarm function that allows remote attackers to extract sensitive data without authentication. The vulnerability stems from improper sanitization of SQL SELECT commands, resulting in complete confidentiality breach.

📄 الوصف (العربية)

هذه الثغرة تسمح لمهاجم بدون مصادقة بتنفيذ استعلامات SQL عشوائية عبر دالة _mb24confi_getTagAlarm في ملف dataapi.php. يمكن للمهاجم استخراج جميع البيانات الحساسة من قاعدة البيانات بما فيها بيانات المستخدمين والمعلومات السرية. الثغرة ناتجة عن عدم تنظيف المدخلات بشكل صحيح قبل استخدامها في أوامر SQL.

🤖 ملخص تنفيذي (AI)

🤖 التحليل الذكي آخر تحليل: Jun 1, 2026 12:06

🇸🇦 التأثير على المملكة العربية السعودية

Saudi Relevance: high

🏢 القطاعات السعودية المتأثرة

banking telecom energy government healthcare

🎯 تقنيات MITRE ATT&CK

T1190 T1110 T1040 T1041

⚖️ درجة المخاطر السعودية (AI)

8.0

/ 10.0

🔧 Remediation Steps (English)

Immediately patch the affected dataapi.php file by implementing parameterized queries or prepared statements for all SQL operations in the _mb24confi_getTagAlarm function. Apply input validation and sanitization to neutralize special SQL characters. Implement Web Application Firewall (WAF) rules to detect and block SQL injection attempts. Conduct a security audit to identify similar vulnerabilities in other API endpoints. Monitor database access logs for suspicious queries.

🔧 خطوات المعالجة (العربية)

قم بتطبيق التصحيح الفوري لملف dataapi.php المتأثر من خلال تنفيذ الاستعلامات المعاملة أو البيانات المحضرة لجميع عمليات SQL في دالة _mb24confi_getTagAlarm. طبق التحقق من صحة المدخلات وتنظيفها لتحييد أحرف SQL الخاصة. طبق قواعد جدار الحماية لتطبيقات الويب (WAF) للكشف عن محاولات حقن SQL وحجبها. أجرِ تدقيقاً أمنياً للتعرف على ثغرات مماثلة في نقاط نهاية API الأخرى. راقب سجلات الوصول إلى قاعدة البيانات بحثاً عن استعلامات مريبة.

📋 خريطة الامتثال التنظيمي

🟢 NCA ECC 2024

A.7.1.1 A.7.1.2 A.12.2.1 A.12.6.1

🔵 SAMA CSF

ID.RA-1 PR.DS-1 PR.DS-2 DE.CM-1

🟡 ISO 27001:2022

A.13.1.1 A.13.1.3 A.14.2.1 A.14.2.5

🔗 المراجع والمصادر 1

🔗

https://www.certvde.com/en/advisories/VDE-2026-044/

info@cert.vde.com

📊 CVSS Score

7.5

/ 10.0 — مرتفع

📊 CVSS Vector

CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N

Attack VectorN — None / Network

Attack ComplexityL — Low / Local

Privileges RequiredN — None / Network

User InteractionN — None / Network

ScopeU — Unchanged

ConfidentialityH — High

IntegrityN — None / Network

AvailabilityN — None / Network

📋 حقائق سريعة

الخطورة مرتفع

CVSS Score7.5

CWECWE-89

EPSS0.05%

اختراق متاح لا

تصحيح متاح ✗ لا

تاريخ النشر 2026-05-27

المصدر nvd

المشاهدات 2

🇸🇦 درجة المخاطر السعودية

8.0

/ 10.0 — مخاطر السعودية

أولوية: HIGH

🏷️ الوسوم

CWE-89

⚡ إجراءات

🔗 NVD Official Page ⚡ Exploit-DB Search 🐙 GitHub PoC Search 🎯 MITRE ATT&CK 📊 CVE Details

CVE-2026-40814

عرّفنا بنفسك

تسجيل الدخول مطلوب