📧 info@ciso.sa | 📱 +966550939344 | الرياض، المملكة العربية السعودية
عن المنصة الأسئلة الشائعة اتصل بنا شروط الخدمة سياسة الخصوصية 🌐 English
🔐

مرحباً — سجّل دخولك أو أنشئ حساباً للوصول الكامل.

🔑 دخول ✨ حساب جديد
🌐 EN تسجيل الدخول إنشاء حساب
🔧 صيانة مجدولة — السبت 2:00-4:00 صباحاً. قد تكون بعض الميزات غير متاحة مؤقتاً.    ●   
💎
خطة Pro بخصم 50% احصل على جميع ميزات AI والتقارير غير المحدودة والدعم ذي الأولوية. الترقية الآن
مركز البحث
ESC للإغلاق
تنقل فتح Ctrl+K بحث
CISO Consulting
Global vulnerability التعليم العالي CRITICAL 9h Global data_breach القطاع الحكومي HIGH 10h Global supply_chain تطوير البرمجيات والمجتمعات مفتوحة المصدر CRITICAL 10h Global malware تطوير البرمجيات CRITICAL 10h Global phishing قطاعات متعددة HIGH 11h Global vulnerability تطبيقات الويب CRITICAL 11h Global apt البنية التحتية الحرجة CRITICAL 11h Global ransomware قطاعات متعددة CRITICAL 12h Global supply_chain تطوير البرمجيات، البنية التحتية لتكنولوجيا المعلومات، التكنولوجيا CRITICAL 13h Global vulnerability,data_breach,general التكنولوجيا، أنظمة التحكم الصناعي، الاتصالات HIGH 13h Global vulnerability التعليم العالي CRITICAL 9h Global data_breach القطاع الحكومي HIGH 10h Global supply_chain تطوير البرمجيات والمجتمعات مفتوحة المصدر CRITICAL 10h Global malware تطوير البرمجيات CRITICAL 10h Global phishing قطاعات متعددة HIGH 11h Global vulnerability تطبيقات الويب CRITICAL 11h Global apt البنية التحتية الحرجة CRITICAL 11h Global ransomware قطاعات متعددة CRITICAL 12h Global supply_chain تطوير البرمجيات، البنية التحتية لتكنولوجيا المعلومات، التكنولوجيا CRITICAL 13h Global vulnerability,data_breach,general التكنولوجيا، أنظمة التحكم الصناعي، الاتصالات HIGH 13h Global vulnerability التعليم العالي CRITICAL 9h Global data_breach القطاع الحكومي HIGH 10h Global supply_chain تطوير البرمجيات والمجتمعات مفتوحة المصدر CRITICAL 10h Global malware تطوير البرمجيات CRITICAL 10h Global phishing قطاعات متعددة HIGH 11h Global vulnerability تطبيقات الويب CRITICAL 11h Global apt البنية التحتية الحرجة CRITICAL 11h Global ransomware قطاعات متعددة CRITICAL 12h Global supply_chain تطوير البرمجيات، البنية التحتية لتكنولوجيا المعلومات، التكنولوجيا CRITICAL 13h Global vulnerability,data_breach,general التكنولوجيا، أنظمة التحكم الصناعي، الاتصالات HIGH 13h
الثغرات

CVE-2026-4839

مرتفع
A vulnerability has been found in SourceCodester Food Ordering System 1.0. This affects an unknown function of the file /purchase.php of the component Parameter Handler. The manipulation of the argume
CWE-74 — نوع الضعف
نُشر: Mar 26, 2026  ·  آخر تحديث: Apr 2, 2026  ·  المصدر: NVD
CVSS v3
7.3
🔗 NVD الرسمي
📄 الوصف (الإنجليزية)

A vulnerability has been found in SourceCodester Food Ordering System 1.0. This affects an unknown function of the file /purchase.php of the component Parameter Handler. The manipulation of the argument custom leads to sql injection. The attack can be initiated remotely. The exploit has been disclosed to the public and may be used.

🤖 ملخص AI

CVE-2026-4839 is a critical SQL injection vulnerability in SourceCodester Food Ordering System 1.0 affecting the /purchase.php file through the 'custom' parameter. With a CVSS score of 7.3 and public exploit disclosure, this poses significant risk to organizations using this system for food ordering operations. No patch is currently available, requiring immediate compensating controls and system isolation.

📄 الوصف (العربية)

🤖 التحليل الذكي آخر تحليل: May 6, 2026 15:18
🇸🇦 التأثير على المملكة العربية السعودية
This vulnerability primarily impacts Saudi food delivery and restaurant management sectors, including QSR chains, cloud kitchen operators, and hospitality businesses using this system. Secondary impact on government health inspection systems and ARAMCO employee food services if deployed. Risk extends to payment processing if integrated with SAMA-regulated payment gateways. Potential data breach of customer information (names, addresses, phone numbers, order history) and financial transaction details.
🏢 القطاعات السعودية المتأثرة
Food & Beverage/QSR Hospitality & Hotels Cloud Kitchen Operations Government Health Services Energy Sector (Employee Services) Retail & E-commerce Healthcare Facilities (Cafeteria Systems)
⚖️ درجة المخاطر السعودية (AI)
8.2
/ 10.0
🔧 Remediation Steps (English)
IMMEDIATE ACTIONS:

1. Isolate all instances of SourceCodester Food Ordering System 1.0 from production networks or disable /purchase.php endpoint immediately

2. Implement Web Application Firewall (WAF) rules to block SQL injection patterns in the 'custom' parameter (block single quotes, UNION, SELECT, DROP keywords)

3. Enable detailed logging and monitoring of all requests to /purchase.php

4. Conduct urgent database access review and revoke unnecessary privileges from application database user



PATCHING GUIDANCE:

5. Contact SourceCodester for security patch availability or migrate to alternative food ordering system

6. If migration not feasible, implement input validation: whitelist allowed characters, use parameterized queries/prepared statements

7. Apply principle of least privilege to database credentials



COMPENSATING CONTROLS:

8. Deploy IDS/IPS signatures detecting SQL injection attempts

9. Implement database activity monitoring (DAM) to detect anomalous queries

10. Restrict network access to /purchase.php to authorized IP ranges only

11. Enable database encryption at rest and in transit

12. Conduct immediate database audit for unauthorized access or data exfiltration



DETECTION RULES:

- Monitor for: OR 1=1, UNION SELECT, DROP TABLE, EXEC, SCRIPT tags in 'custom' parameter

- Alert on: Multiple failed database connection attempts, unusual query execution patterns

- Log all POST requests to /purchase.php with full parameter values
🔧 خطوات المعالجة (العربية)
الإجراءات الفورية:

1. عزل جميع نسخ نظام SourceCodester لطلب الطعام الإصدار 1.0 عن شبكات الإنتاج أو تعطيل نقطة نهاية /purchase.php فوراً

2. تطبيق قواعد جدار حماية تطبيقات الويب (WAF) لحجب أنماط حقن SQL في معامل 'custom'

3. تفعيل التسجيل والمراقبة التفصيلية لجميع الطلبات إلى /purchase.php

4. إجراء مراجعة فورية لوصول قاعدة البيانات وإلغاء الامتيازات غير الضرورية



إرشادات التصحيح:

5. التواصل مع SourceCodester للحصول على تصحيح أمني أو الهجرة إلى نظام بديل

6. إذا لم تكن الهجرة ممكنة، تطبيق التحقق من المدخلات: قائمة بيضاء للأحرف المسموحة

7. تطبيق مبدأ أقل امتياز على بيانات اعتماد قاعدة البيانات



الضوابط التعويضية:

8. نشر توقيعات IDS/IPS للكشف عن محاولات حقن SQL

9. تطبيق مراقبة نشاط قاعدة البيانات (DAM)

10. تقييد الوصول إلى /purchase.php للنطاقات المصرح بها فقط

11. تفعيل تشفير قاعدة البيانات أثناء السكون والنقل

12. إجراء تدقيق فوري لقاعدة البيانات للكشف عن الوصول غير المصرح به
📋 خريطة الامتثال التنظيمي
🟢 NCA ECC 2024
ECC 2024 A.14.2.1 - Information security requirements for supplier relationships ECC 2024 A.14.2.5 - Addressing information security in supplier agreements ECC 2024 A.12.6.1 - Management of technical vulnerabilities ECC 2024 A.12.2.1 - Secure development policy
🔵 SAMA CSF
SAMA CSF ID.GV-1 - Organizational governance and risk management SAMA CSF PR.DS-1 - Data security and protection SAMA CSF DE.CM-1 - Detection and monitoring of anomalies SAMA CSF RS.MI-1 - Incident response and mitigation
🟡 ISO 27001:2022
ISO 27001:2022 A.5.1 - Policies for information security ISO 27001:2022 A.8.1 - User access management ISO 27001:2022 A.12.2 - Development and support processes ISO 27001:2022 A.12.6 - Management of technical vulnerabilities ISO 27001:2022 A.14.2 - Supplier relationships
🟣 PCI DSS v4.0.1
PCI DSS 6.2 - Security patches and updates PCI DSS 6.5.1 - Injection flaws prevention PCI DSS 11.3 - Penetration testing and vulnerability scanning
📊 CVSS Score
7.3
/ 10.0 — مرتفع
📊 CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:L/A:L
Attack VectorN — None / Network
Attack ComplexityL — Low / Local
Privileges RequiredN — None / Network
User InteractionN — None / Network
ScopeU — Unchanged
ConfidentialityL — Low / Local
IntegrityL — Low / Local
AvailabilityL — Low / Local
📋 حقائق سريعة
الخطورة مرتفع
CVSS Score7.3
CWECWE-74
EPSS0.04%
اختراق متاح لا
تصحيح متاح ✗ لا
تاريخ النشر 2026-03-26
المصدر nvd
المشاهدات 6
🇸🇦 درجة المخاطر السعودية
8.2
/ 10.0 — مخاطر السعودية
أولوية: CRITICAL
🏷️ الوسوم
CWE-74
⚡ إجراءات
🔗 NVD Official Page ⚡ Exploit-DB Search 🐙 GitHub PoC Search 🎯 MITRE ATT&CK 📊 CVE Details
مشاركة ثغرة
LinkedIn X / Twitter WhatsApp Telegram

💬 التعليقات

0
جارٍ التحميل
📣 وجدت هذا مفيداً؟
شاركه مع شبكة الأمن السيبراني الخاصة بك
in لينكدإن 𝕏 تويتر 💬 واتساب ✈ تليجرام
🍪 إعدادات الخصوصية
سيزو للاستشارات — متوافق مع نظام حماية البيانات الشخصية السعودي (PDPL)
نستخدم ملفات تعريف الارتباط والتقنيات المشابهة لتوفير أفضل تجربة على منصتنا. يمكنك اختيار الأنواع التي تقبلها.
🔒
ملفات ضرورية Always On
مطلوبة لعمل الموقع بشكل صحيح. لا يمكن تعطيلها.
📋 الجلسات، CSRF، المصادقة، تفضيلات اللغة
📊
ملفات التحليلات
تساعدنا في فهم كيفية استخدام الزوار للموقع وتحسين الأداء.
📋 إحصائيات الصفحات، مدة الجلسة، مصدر الزيارة
⚙️
ملفات وظيفية
تتيح ميزات محسنة مثل تخصيص المحتوى والتفضيلات.
📋 السمة المظلمة/الفاتحة، حجم الخط، لوحات التحكم المخصصة
📣
ملفات تسويقية
تُستخدم لتقديم محتوى وإعلانات ذات صلة باهتماماتك.
📋 تتبع الحملات، إعادة الاستهداف، تحليلات وسائل التواصل
سياسة الخصوصية →
مساعد CISO الذكي
اسألني أي شيء · وثائق · دعم
🔐

عرّفنا بنفسك

أدخل بياناتك للوصول إلى المساعد الكامل

معلوماتك آمنة ولن تُشارك
💬
المساعد السيبراني
متصل — يرد في ثوانٍ
5 / 5
🔐 تحقق من هويتك

أدخل بريدك الإلكتروني لإرسال رمز تحقق قبل إرسال طلب الدعم.

Enter للإرسال · / للأوامر 0 / 2000
CISO AI · مدعوم بالذكاء الاصطناعي
✦ استطلاع سريع ساعدنا في تحسين منصة سيزو للاستشارات ملاحظاتك تشكّل مستقبل منصتنا — لا تستغرق سوى دقيقتين.
⚠ يرجى الإجابة على هذا السؤال للمتابعة

كيف تقيّم تجربتك العامة مع منصتنا؟

قيّم من 1 (ضعيف) إلى 5 (ممتاز)

🎉
شكراً جزيلاً!
تم تسجيل إجابتك بنجاح.