📧 info@ciso.sa | 📱 +966550939344 | الرياض، المملكة العربية السعودية
عن المنصة الأسئلة الشائعة اتصل بنا شروط الخدمة سياسة الخصوصية 🌐 English
🔐

مرحباً — سجّل دخولك أو أنشئ حساباً للوصول الكامل.

🔑 دخول ✨ حساب جديد
🌐 EN تسجيل الدخول إنشاء حساب
🔧 صيانة مجدولة — السبت 2:00-4:00 صباحاً. قد تكون بعض الميزات غير متاحة مؤقتاً.    ●   
💎
خطة Pro بخصم 50% احصل على جميع ميزات AI والتقارير غير المحدودة والدعم ذي الأولوية. الترقية الآن
مركز البحث
ESC للإغلاق
تنقل فتح Ctrl+K بحث
CISO Consulting
Global vulnerability التعليم العالي CRITICAL 7h Global data_breach القطاع الحكومي HIGH 8h Global supply_chain تطوير البرمجيات والمجتمعات مفتوحة المصدر CRITICAL 8h Global malware تطوير البرمجيات CRITICAL 8h Global phishing قطاعات متعددة HIGH 9h Global vulnerability تطبيقات الويب CRITICAL 10h Global apt البنية التحتية الحرجة CRITICAL 10h Global ransomware قطاعات متعددة CRITICAL 10h Global supply_chain تطوير البرمجيات، البنية التحتية لتكنولوجيا المعلومات، التكنولوجيا CRITICAL 11h Global vulnerability,data_breach,general التكنولوجيا، أنظمة التحكم الصناعي، الاتصالات HIGH 12h Global vulnerability التعليم العالي CRITICAL 7h Global data_breach القطاع الحكومي HIGH 8h Global supply_chain تطوير البرمجيات والمجتمعات مفتوحة المصدر CRITICAL 8h Global malware تطوير البرمجيات CRITICAL 8h Global phishing قطاعات متعددة HIGH 9h Global vulnerability تطبيقات الويب CRITICAL 10h Global apt البنية التحتية الحرجة CRITICAL 10h Global ransomware قطاعات متعددة CRITICAL 10h Global supply_chain تطوير البرمجيات، البنية التحتية لتكنولوجيا المعلومات، التكنولوجيا CRITICAL 11h Global vulnerability,data_breach,general التكنولوجيا، أنظمة التحكم الصناعي، الاتصالات HIGH 12h Global vulnerability التعليم العالي CRITICAL 7h Global data_breach القطاع الحكومي HIGH 8h Global supply_chain تطوير البرمجيات والمجتمعات مفتوحة المصدر CRITICAL 8h Global malware تطوير البرمجيات CRITICAL 8h Global phishing قطاعات متعددة HIGH 9h Global vulnerability تطبيقات الويب CRITICAL 10h Global apt البنية التحتية الحرجة CRITICAL 10h Global ransomware قطاعات متعددة CRITICAL 10h Global supply_chain تطوير البرمجيات، البنية التحتية لتكنولوجيا المعلومات، التكنولوجيا CRITICAL 11h Global vulnerability,data_breach,general التكنولوجيا، أنظمة التحكم الصناعي، الاتصالات HIGH 12h
الثغرات

CVE-2026-5198

مرتفع
A vulnerability was determined in code-projects Student Membership System 1.0. The impacted element is an unknown function of the file /admin/index.php of the component Admin Login. This manipulation
CWE-74 — نوع الضعف
نُشر: Mar 31, 2026  ·  آخر تحديث: Apr 7, 2026  ·  المصدر: NVD
CVSS v3
7.3
🔗 NVD الرسمي
📄 الوصف (الإنجليزية)

A vulnerability was determined in code-projects Student Membership System 1.0. The impacted element is an unknown function of the file /admin/index.php of the component Admin Login. This manipulation of the argument username/password causes sql injection. Remote exploitation of the attack is possible. The exploit has been publicly disclosed and may be utilized.

🤖 ملخص AI

CVE-2026-5198 is a SQL injection vulnerability in code-projects Student Membership System 1.0 affecting the admin login functionality (/admin/index.php). The vulnerability allows remote attackers to manipulate username/password parameters to execute arbitrary SQL queries, potentially leading to unauthorized access, data exfiltration, or system compromise. With a CVSS score of 7.3 and public disclosure, this poses an immediate threat to organizations using this system.

📄 الوصف (العربية)

🤖 التحليل الذكي آخر تحليل: May 7, 2026 04:48
🇸🇦 التأثير على المملكة العربية السعودية
This vulnerability primarily impacts Saudi educational institutions, government agencies managing student systems, and private sector organizations using this Student Membership System. Most at-risk sectors include: (1) Ministry of Education and universities managing student databases; (2) Private educational institutions and training centers; (3) Government agencies with student/personnel management systems; (4) Healthcare institutions with student/trainee management modules. The SQL injection could lead to unauthorized access to sensitive student records, financial data, and institutional systems, with potential compliance violations under NCA ECC 2024 and SAMA CSF requirements.
🏢 القطاعات السعودية المتأثرة
Education (Ministry of Education, Universities, Private Schools) Government (Student/Personnel Management Systems) Healthcare (Student/Trainee Management) Private Sector (Training Centers, Corporate Training)
⚖️ درجة المخاطر السعودية (AI)
8.2
/ 10.0
🔧 Remediation Steps (English)
IMMEDIATE ACTIONS:

1. Disable or restrict access to /admin/index.php immediately until patching is available

2. Implement Web Application Firewall (WAF) rules to block SQL injection patterns in admin login parameters

3. Review access logs for suspicious login attempts with SQL injection payloads

4. Force password reset for all admin accounts

5. Isolate affected systems from production networks if possible



COMPENSATING CONTROLS:

1. Implement input validation: whitelist allowed characters for username/password fields (alphanumeric only)

2. Use parameterized queries/prepared statements in code review

3. Apply rate limiting to admin login endpoint (max 5 attempts per minute per IP)

4. Enable SQL query logging and monitoring for suspicious patterns

5. Implement multi-factor authentication (MFA) for all admin accounts

6. Deploy IDS/IPS signatures to detect SQL injection attempts



DETECTION RULES:

1. Monitor for SQL keywords in login parameters: UNION, SELECT, DROP, INSERT, OR, AND, EXEC

2. Alert on multiple failed login attempts followed by successful access

3. Track unusual database queries from web application user accounts

4. Monitor for encoded SQL injection attempts (URL encoding, hex encoding)



PATCHING GUIDANCE:

1. Contact code-projects for security patch availability

2. If no patch available, consider migrating to alternative student management systems

3. Implement code review and security testing before deploying any vendor updates
🔧 خطوات المعالجة (العربية)
الإجراءات الفورية:

1. تعطيل أو تقييد الوصول إلى /admin/index.php فوراً حتى يتوفر التصحيح

2. تطبيق قواعد جدار حماية تطبيقات الويب (WAF) لحجب أنماط حقن SQL في معاملات تسجيل الدخول

3. مراجعة سجلات الوصول للبحث عن محاولات تسجيل دخول مريبة باستخدام حمولات حقن SQL

4. فرض إعادة تعيين كلمة المرور لجميع حسابات المسؤول

5. عزل الأنظمة المتأثرة عن شبكات الإنتاج إن أمكن



الضوابط التعويضية:

1. تطبيق التحقق من صحة المدخلات: قائمة بيضاء للأحرف المسموحة في حقول اسم المستخدم/كلمة المرور (أبجدية رقمية فقط)

2. استخدام الاستعلامات المعاملة/البيانات المحضرة في مراجعة الكود

3. تطبيق تحديد معدل الوصول على نقطة نهاية تسجيل الدخول (5 محاولات كحد أقصى في الدقيقة لكل عنوان IP)

4. تفعيل تسجيل الاستعلامات ومراقبة قاعدة البيانات للأنماط المريبة

5. تطبيق المصادقة متعددة العوامل (MFA) لجميع حسابات المسؤول

6. نشر توقيعات نظام كشف/منع الاختراق (IDS/IPS) للكشف عن محاولات حقن SQL



قواعد الكشف:

1. مراقبة كلمات مفاتيح SQL في معاملات تسجيل الدخول: UNION, SELECT, DROP, INSERT, OR, AND, EXEC

2. تنبيه عند محاولات تسجيل دخول فاشلة متعددة متبوعة بوصول ناجح

3. تتبع استعلامات قاعدة البيانات غير العادية من حسابات مستخدمي تطبيقات الويب

4. مراقبة محاولات حقن SQL المشفرة (ترميز URL، ترميز سادس عشري)



إرشادات التصحيح:

1. الاتصال بـ code-projects للحصول على تصحيح أمان

2. إذا لم يتوفر تصحيح، فكر في الهجرة إلى أنظمة إدارة طلاب بديلة

3. تطبيق مراجعة الكود واختبار الأمان قبل نشر أي تحديثات من البائع
📋 خريطة الامتثال التنظيمي
🟢 NCA ECC 2024
A.14.2.1 - Secure development policy A.14.2.5 - Secure development environment A.14.3.1 - Security testing during development A.12.6.1 - Management of technical vulnerabilities
🔵 SAMA CSF
ID.RA-1 - Asset management and vulnerability identification PR.DS-6 - Data protection and integrity DE.CM-8 - Vulnerability scans RS.MI-2 - Incident response and mitigation
🟡 ISO 27001:2022
A.12.6.1 - Management of technical vulnerabilities A.14.2.1 - Secure development policy A.14.3.1 - Security testing A.12.2.1 - Change management
🟣 PCI DSS v4.0.1
6.2 - Security patches and updates 6.5.1 - Injection flaws prevention 11.2 - Vulnerability scanning
📊 CVSS Score
7.3
/ 10.0 — مرتفع
📊 CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:L/A:L
Attack VectorN — None / Network
Attack ComplexityL — Low / Local
Privileges RequiredN — None / Network
User InteractionN — None / Network
ScopeU — Unchanged
ConfidentialityL — Low / Local
IntegrityL — Low / Local
AvailabilityL — Low / Local
📋 حقائق سريعة
الخطورة مرتفع
CVSS Score7.3
CWECWE-74
EPSS0.01%
اختراق متاح لا
تصحيح متاح ✗ لا
تاريخ النشر 2026-03-31
المصدر nvd
المشاهدات 6
🇸🇦 درجة المخاطر السعودية
8.2
/ 10.0 — مخاطر السعودية
أولوية: CRITICAL
🏷️ الوسوم
CWE-74
⚡ إجراءات
🔗 NVD Official Page ⚡ Exploit-DB Search 🐙 GitHub PoC Search 🎯 MITRE ATT&CK 📊 CVE Details
مشاركة ثغرة
LinkedIn X / Twitter WhatsApp Telegram

💬 التعليقات

0
جارٍ التحميل
📣 وجدت هذا مفيداً؟
شاركه مع شبكة الأمن السيبراني الخاصة بك
in لينكدإن 𝕏 تويتر 💬 واتساب ✈ تليجرام
🍪 إعدادات الخصوصية
سيزو للاستشارات — متوافق مع نظام حماية البيانات الشخصية السعودي (PDPL)
نستخدم ملفات تعريف الارتباط والتقنيات المشابهة لتوفير أفضل تجربة على منصتنا. يمكنك اختيار الأنواع التي تقبلها.
🔒
ملفات ضرورية Always On
مطلوبة لعمل الموقع بشكل صحيح. لا يمكن تعطيلها.
📋 الجلسات، CSRF، المصادقة، تفضيلات اللغة
📊
ملفات التحليلات
تساعدنا في فهم كيفية استخدام الزوار للموقع وتحسين الأداء.
📋 إحصائيات الصفحات، مدة الجلسة، مصدر الزيارة
⚙️
ملفات وظيفية
تتيح ميزات محسنة مثل تخصيص المحتوى والتفضيلات.
📋 السمة المظلمة/الفاتحة، حجم الخط، لوحات التحكم المخصصة
📣
ملفات تسويقية
تُستخدم لتقديم محتوى وإعلانات ذات صلة باهتماماتك.
📋 تتبع الحملات، إعادة الاستهداف، تحليلات وسائل التواصل
سياسة الخصوصية →
مساعد CISO الذكي
اسألني أي شيء · وثائق · دعم
🔐

عرّفنا بنفسك

أدخل بياناتك للوصول إلى المساعد الكامل

معلوماتك آمنة ولن تُشارك
💬
المساعد السيبراني
متصل — يرد في ثوانٍ
5 / 5
🔐 تحقق من هويتك

أدخل بريدك الإلكتروني لإرسال رمز تحقق قبل إرسال طلب الدعم.

Enter للإرسال · / للأوامر 0 / 2000
CISO AI · مدعوم بالذكاء الاصطناعي
✦ استطلاع سريع ساعدنا في تحسين منصة سيزو للاستشارات ملاحظاتك تشكّل مستقبل منصتنا — لا تستغرق سوى دقيقتين.
⚠ يرجى الإجابة على هذا السؤال للمتابعة

كيف تقيّم تجربتك العامة مع منصتنا؟

قيّم من 1 (ضعيف) إلى 5 (ممتاز)

🎉
شكراً جزيلاً!
تم تسجيل إجابتك بنجاح.