📧 info@ciso.sa | 📱 +966550939344 | الرياض، المملكة العربية السعودية
عن المنصة الأسئلة الشائعة اتصل بنا شروط الخدمة سياسة الخصوصية 🌐 English
🔐

مرحباً — سجّل دخولك أو أنشئ حساباً للوصول الكامل.

🔑 دخول ✨ حساب جديد
🌐 EN تسجيل الدخول إنشاء حساب
🔧 صيانة مجدولة — السبت 2:00-4:00 صباحاً. قد تكون بعض الميزات غير متاحة مؤقتاً.    ●   
💎
خطة Pro بخصم 50% احصل على جميع ميزات AI والتقارير غير المحدودة والدعم ذي الأولوية. الترقية الآن
مركز البحث
ESC للإغلاق
تنقل فتح Ctrl+K بحث
CISO Consulting
Global vulnerability الذكاء الاصطناعي والتكنولوجيا HIGH 3h Global general قطاع التكنولوجيا والذكاء الاصطناعي MEDIUM 7h Global general قطاع التكنولوجيا والذكاء الاصطناعي HIGH 8h Global vulnerability التعليم العالي CRITICAL 17h Global data_breach القطاع الحكومي HIGH 18h Global supply_chain تطوير البرمجيات والمجتمعات مفتوحة المصدر CRITICAL 18h Global malware تطوير البرمجيات CRITICAL 18h Global phishing قطاعات متعددة HIGH 18h Global vulnerability تطبيقات الويب CRITICAL 19h Global apt البنية التحتية الحرجة CRITICAL 19h Global vulnerability الذكاء الاصطناعي والتكنولوجيا HIGH 3h Global general قطاع التكنولوجيا والذكاء الاصطناعي MEDIUM 7h Global general قطاع التكنولوجيا والذكاء الاصطناعي HIGH 8h Global vulnerability التعليم العالي CRITICAL 17h Global data_breach القطاع الحكومي HIGH 18h Global supply_chain تطوير البرمجيات والمجتمعات مفتوحة المصدر CRITICAL 18h Global malware تطوير البرمجيات CRITICAL 18h Global phishing قطاعات متعددة HIGH 18h Global vulnerability تطبيقات الويب CRITICAL 19h Global apt البنية التحتية الحرجة CRITICAL 19h Global vulnerability الذكاء الاصطناعي والتكنولوجيا HIGH 3h Global general قطاع التكنولوجيا والذكاء الاصطناعي MEDIUM 7h Global general قطاع التكنولوجيا والذكاء الاصطناعي HIGH 8h Global vulnerability التعليم العالي CRITICAL 17h Global data_breach القطاع الحكومي HIGH 18h Global supply_chain تطوير البرمجيات والمجتمعات مفتوحة المصدر CRITICAL 18h Global malware تطوير البرمجيات CRITICAL 18h Global phishing قطاعات متعددة HIGH 18h Global vulnerability تطبيقات الويب CRITICAL 19h Global apt البنية التحتية الحرجة CRITICAL 19h
الثغرات

CVE-2026-41317

مرتفع
CWE-352 — نوع الضعف
نُشر: Apr 24, 2026  ·  آخر تحديث: Apr 30, 2026  ·  المصدر: NVD
CVSS v3
7.5
🔗 NVD الرسمي
📄 الوصف (الإنجليزية)

Press, a Frappe custom app that runs Frappe Cloud, manages infrastructure, subscription, marketplace, and software-as-a-service (SaaS).`press.api.account.create_api_secret` is prone to CSRF-like exploits. This endpoint writes to database and it is also accessible via GET method. The patch in commit 52ea2f2d1b587be0807557e96f025f47897d00fd restricts method to POST.

🤖 ملخص AI

CVE-2026-41317 is a CSRF vulnerability in Frappe Press affecting the API secret creation endpoint, which accepts GET requests despite performing database writes. This allows attackers to trigger unintended API secret creation through crafted requests, potentially compromising authentication mechanisms in SaaS environments. The vulnerability affects all Frappe Press versions until patched, with high severity due to direct impact on API security and account compromise risks.

📄 الوصف (العربية)

🤖 التحليل الذكي آخر تحليل: May 2, 2026 03:19
🇸🇦 التأثير على المملكة العربية السعودية
Saudi organizations using Frappe Press for SaaS delivery, particularly in fintech, e-commerce, and enterprise software sectors, face significant risk. Financial institutions and payment processors using Frappe-based platforms are at highest risk of API credential compromise. Government agencies and healthcare providers utilizing Frappe Cloud for data management could experience unauthorized access to sensitive systems. Telecom and energy sector digital platforms built on Frappe infrastructure are vulnerable to account takeover and data exfiltration.
🏢 القطاعات السعودية المتأثرة
Financial Services and Banking E-commerce and Retail Government and Public Administration Healthcare and Medical Services Telecommunications Energy and Utilities Enterprise Software and SaaS Providers
⚖️ درجة المخاطر السعودية (AI)
7.8
/ 10.0
🔧 Remediation Steps (English)
1. IMMEDIATE: Identify all Frappe Press instances in your environment and verify current version

2. Apply the security patch from commit 52ea2f2d1b587be0807557e96f025f47897d00fd immediately

3. Upgrade to the latest patched version of Frappe Press

4. COMPENSATING CONTROLS (if immediate patching not possible):

   - Implement WAF rules to block GET requests to /api/account/create_api_secret endpoint

   - Enforce CSRF tokens on all state-changing operations

   - Implement SameSite cookie attributes (Strict)

5. DETECTION: Monitor access logs for GET requests to create_api_secret endpoint; alert on any successful responses

6. REMEDIATION: Audit all API secrets created in the past 90 days; revoke suspicious credentials

7. Review and rotate all API keys and secrets post-patch

8. Implement request method validation at application and WAF levels
🔧 خطوات المعالجة (العربية)
1. فوري: حدد جميع مثيلات Frappe Press في بيئتك والتحقق من الإصدار الحالي

2. طبق رقعة الأمان من commit 52ea2f2d1b587be0807557e96f025f47897d00fd فوراً

3. قم بالترقية إلى أحدث إصدار مصحح من Frappe Press

4. الضوابط التعويضية (إذا لم يكن الإصلاح الفوري ممكناً):

   - طبق قواعد WAF لحظر طلبات GET إلى نقطة نهاية /api/account/create_api_secret

   - فرض رموز CSRF على جميع العمليات التي تغير الحالة

   - طبق سمات ملفات تعريف الارتباط SameSite (صارم)

5. الكشف: راقب سجلات الوصول لطلبات GET إلى نقطة نهاية create_api_secret؛ تنبيه على أي استجابات ناجحة

6. الإصلاح: تدقيق جميع أسرار API التي تم إنشاؤها في آخر 90 يوماً؛ إلغاء بيانات الاعتماد المريبة

7. مراجعة وتدوير جميع مفاتيح API والأسرار بعد الإصلاح

8. طبق التحقق من طريقة الطلب على مستويات التطبيق و WAF
📋 خريطة الامتثال التنظيمي
🟢 NCA ECC 2024
ECC 2024 - 5.1.1: Access Control and Authentication ECC 2024 - 5.2.2: API Security and Secure Communication ECC 2024 - 6.1.1: Vulnerability Management ECC 2024 - 7.1.2: Security Testing and Code Review
🔵 SAMA CSF
SAMA CSF - ID.AM-2: Software and Hardware Assets SAMA CSF - PR.AC-1: Access Control Policy SAMA CSF - PR.AC-3: Access Enforcement SAMA CSF - DE.CM-1: Network Monitoring
🟡 ISO 27001:2022
ISO 27001:2022 - A.5.15: Access Control ISO 27001:2022 - A.8.22: Cryptography ISO 27001:2022 - A.14.2: Development Security ISO 27001:2022 - A.12.6: Management of Technical Vulnerabilities
🟣 PCI DSS v4.0.1
PCI DSS 4.0 - 6.2.4: Security Testing PCI DSS 4.0 - 7.1: Limit Access to System Components PCI DSS 4.0 - 8.2: User Identification and Authentication
📦 المنتجات المتأثرة 1 منتج
frappe:press
📊 CVSS Score
7.5
/ 10.0 — مرتفع
📊 CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:H/A:N
Attack VectorN — None / Network
Attack ComplexityL — Low / Local
Privileges RequiredN — None / Network
User InteractionN — None / Network
ScopeU — Unchanged
ConfidentialityN — None / Network
IntegrityH — High
AvailabilityN — None / Network
📋 حقائق سريعة
الخطورة مرتفع
CVSS Score7.5
CWECWE-352
EPSS0.03%
اختراق متاح لا
تصحيح متاح ✓ نعم
تاريخ النشر 2026-04-24
المصدر nvd
المشاهدات 2
🇸🇦 درجة المخاطر السعودية
7.8
/ 10.0 — مخاطر السعودية
أولوية: HIGH
🏷️ الوسوم
patch-available CWE-352
🏢 توجيهات البائع
🔗 https://github.com/frappe/press/security/advisories/...
⚡ إجراءات
🔗 NVD Official Page ⚡ Exploit-DB Search 🐙 GitHub PoC Search 🎯 MITRE ATT&CK 📊 CVE Details
مشاركة ثغرة
LinkedIn X / Twitter WhatsApp Telegram

💬 التعليقات

0
جارٍ التحميل
📣 وجدت هذا مفيداً؟
شاركه مع شبكة الأمن السيبراني الخاصة بك
in لينكدإن 𝕏 تويتر 💬 واتساب ✈ تليجرام
🍪 إعدادات الخصوصية
سيزو للاستشارات — متوافق مع نظام حماية البيانات الشخصية السعودي (PDPL)
نستخدم ملفات تعريف الارتباط والتقنيات المشابهة لتوفير أفضل تجربة على منصتنا. يمكنك اختيار الأنواع التي تقبلها.
🔒
ملفات ضرورية Always On
مطلوبة لعمل الموقع بشكل صحيح. لا يمكن تعطيلها.
📋 الجلسات، CSRF، المصادقة، تفضيلات اللغة
📊
ملفات التحليلات
تساعدنا في فهم كيفية استخدام الزوار للموقع وتحسين الأداء.
📋 إحصائيات الصفحات، مدة الجلسة، مصدر الزيارة
⚙️
ملفات وظيفية
تتيح ميزات محسنة مثل تخصيص المحتوى والتفضيلات.
📋 السمة المظلمة/الفاتحة، حجم الخط، لوحات التحكم المخصصة
📣
ملفات تسويقية
تُستخدم لتقديم محتوى وإعلانات ذات صلة باهتماماتك.
📋 تتبع الحملات، إعادة الاستهداف، تحليلات وسائل التواصل
سياسة الخصوصية →
مساعد CISO الذكي
اسألني أي شيء · وثائق · دعم
🔐

عرّفنا بنفسك

أدخل بياناتك للوصول إلى المساعد الكامل

معلوماتك آمنة ولن تُشارك
💬
المساعد السيبراني
متصل — يرد في ثوانٍ
5 / 5
🔐 تحقق من هويتك

أدخل بريدك الإلكتروني لإرسال رمز تحقق قبل إرسال طلب الدعم.

Enter للإرسال · / للأوامر 0 / 2000
CISO AI · مدعوم بالذكاء الاصطناعي
✦ استطلاع سريع ساعدنا في تحسين منصة سيزو للاستشارات ملاحظاتك تشكّل مستقبل منصتنا — لا تستغرق سوى دقيقتين.
⚠ يرجى الإجابة على هذا السؤال للمتابعة

كيف تقيّم تجربتك العامة مع منصتنا؟

قيّم من 1 (ضعيف) إلى 5 (ممتاز)

🎉
شكراً جزيلاً!
تم تسجيل إجابتك بنجاح.