📧 info@ciso.sa | 📱 +966550939344 | الرياض، المملكة العربية السعودية
عن المنصة الأسئلة الشائعة اتصل بنا شروط الخدمة سياسة الخصوصية 🌐 English
🔐

مرحباً — سجّل دخولك أو أنشئ حساباً للوصول الكامل.

🔑 دخول ✨ حساب جديد
🌐 EN تسجيل الدخول إنشاء حساب
🔧 صيانة مجدولة — السبت 2:00-4:00 صباحاً. قد تكون بعض الميزات غير متاحة مؤقتاً.    ●   
💎
خطة Pro بخصم 50% احصل على جميع ميزات AI والتقارير غير المحدودة والدعم ذي الأولوية. الترقية الآن
مركز البحث
ESC للإغلاق
تنقل فتح Ctrl+K بحث
CISO Consulting
Global vulnerability تكنولوجيا المعلومات CRITICAL 33m Global supply_chain تطوير البرمجيات والتكنولوجيا HIGH 1h Global vulnerability تكنولوجيا المعلومات والاتصالات CRITICAL 1h Global apt الخدمات المالية والمصرفية HIGH 7h Global vulnerability قطاع التكنولوجيا وتطوير البرمجيات HIGH 10h Global vulnerability الحكومة والوكالات الفيدرالية CRITICAL 10h Global supply_chain تطوير البرمجيات والنظم البيئية مفتوحة المصدر HIGH 10h Global vulnerability برامج المؤسسات/البرامج كخدمة MEDIUM 11h Global supply_chain تطوير البرمجيات HIGH 11h Global general التأمين/إدارة المخاطر HIGH 11h Global vulnerability تكنولوجيا المعلومات CRITICAL 33m Global supply_chain تطوير البرمجيات والتكنولوجيا HIGH 1h Global vulnerability تكنولوجيا المعلومات والاتصالات CRITICAL 1h Global apt الخدمات المالية والمصرفية HIGH 7h Global vulnerability قطاع التكنولوجيا وتطوير البرمجيات HIGH 10h Global vulnerability الحكومة والوكالات الفيدرالية CRITICAL 10h Global supply_chain تطوير البرمجيات والنظم البيئية مفتوحة المصدر HIGH 10h Global vulnerability برامج المؤسسات/البرامج كخدمة MEDIUM 11h Global supply_chain تطوير البرمجيات HIGH 11h Global general التأمين/إدارة المخاطر HIGH 11h Global vulnerability تكنولوجيا المعلومات CRITICAL 33m Global supply_chain تطوير البرمجيات والتكنولوجيا HIGH 1h Global vulnerability تكنولوجيا المعلومات والاتصالات CRITICAL 1h Global apt الخدمات المالية والمصرفية HIGH 7h Global vulnerability قطاع التكنولوجيا وتطوير البرمجيات HIGH 10h Global vulnerability الحكومة والوكالات الفيدرالية CRITICAL 10h Global supply_chain تطوير البرمجيات والنظم البيئية مفتوحة المصدر HIGH 10h Global vulnerability برامج المؤسسات/البرامج كخدمة MEDIUM 11h Global supply_chain تطوير البرمجيات HIGH 11h Global general التأمين/إدارة المخاطر HIGH 11h
الثغرات

CVE-2026-8847

متوسط
CWE-79 — نوع الضعف
نُشر: May 27, 2026  ·  آخر تحديث: May 30, 2026  ·  المصدر: NVD
CVSS v3
6.4
🔗 NVD الرسمي
📄 الوصف (الإنجليزية)

The Dideo plugin for WordPress is vulnerable to Stored Cross-Site Scripting via the plugin's 'dideo' shortcode in version 1.0. This is due to insufficient input sanitization and output escaping on the 'id' shortcode attribute, which is interpolated directly into an HTML iframe 'src' attribute without escaping in the dideo() shortcode handler. This makes it possible for authenticated attackers, with contributor-level access and above, to inject arbitrary web scripts in pages that will execute whenever a user accesses an injected page.

🤖 ملخص AI

The Dideo WordPress plugin version 1.0 contains a Stored Cross-Site Scripting (XSS) vulnerability in its shortcode handler that allows authenticated contributors to inject malicious scripts. The vulnerability stems from insufficient input sanitization of the 'id' attribute in the 'dideo' shortcode, which is directly embedded into iframe src attributes without proper escaping. While requiring authenticated access, this poses a significant risk to WordPress-based content management systems commonly used by Saudi organizations, particularly those with multiple content contributors.

📄 الوصف (العربية)

🤖 التحليل الذكي آخر تحليل: May 28, 2026 11:48
🇸🇦 التأثير على المملكة العربية السعودية
Saudi organizations using WordPress with the Dideo plugin are at risk, particularly: (1) Government agencies and municipalities managing public information portals; (2) Educational institutions (universities, schools) using WordPress for content management; (3) Media and publishing companies; (4) Healthcare facilities with patient information systems; (5) Corporate websites with multiple content contributors. The impact is elevated in organizations where contributor-level access is granted to external parties, contractors, or less-trusted internal staff. Session hijacking, credential theft, and malware distribution are primary concerns.
🏢 القطاعات السعودية المتأثرة
Government and Public Administration Education Media and Publishing Healthcare Corporate/Enterprise Non-Profit Organizations
⚖️ درجة المخاطر السعودية (AI)
6.8
/ 10.0
🔧 Remediation Steps (English)
IMMEDIATE ACTIONS:

1. Audit all WordPress installations using Dideo plugin v1.0 across your organization

2. Review user access logs for any suspicious shortcode modifications in the past 30 days

3. Disable the Dideo plugin immediately if not actively used

4. Restrict contributor-level permissions to trusted personnel only



PATCHING GUIDANCE:

1. Contact Dideo plugin developers for security patch availability

2. If no patch is available, consider removing the plugin entirely

3. Implement a plugin replacement with equivalent functionality that has active security maintenance



COMPENSATING CONTROLS:

1. Implement Web Application Firewall (WAF) rules to detect and block iframe src attribute injection patterns

2. Deploy Content Security Policy (CSP) headers: frame-src 'self' to restrict iframe sources

3. Enable WordPress security plugins (Wordfence, Sucuri) with XSS detection rules

4. Implement strict input validation at the WordPress level using sanitize_text_field() and wp_kses_post()

5. Conduct code review of any custom shortcodes for similar vulnerabilities



DETECTION RULES:

1. Monitor for shortcode modifications containing 'javascript:', 'data:', or event handlers in post/page content

2. Alert on contributor-level user account creation or permission elevation

3. Log all shortcode attribute values containing special characters: <, >, ", ', &

4. Review WordPress database for posts containing [dideo id=...] with suspicious patterns
🔧 خطوات المعالجة (العربية)
الإجراءات الفورية:

1. تدقيق جميع تثبيتات WordPress التي تستخدم مكون Dideo v1.0 عبر مؤسستك

2. مراجعة سجلات وصول المستخدم للبحث عن أي تعديلات مريبة على الاختصار في آخر 30 يوماً

3. تعطيل مكون Dideo فوراً إذا لم يكن قيد الاستخدام النشط

4. تقييد أذونات مستوى المساهم للموظفين الموثوقين فقط



إرشادات التصحيح:

1. اتصل بمطوري مكون Dideo للحصول على تصحيح أمني

2. إذا لم يكن هناك تصحيح متاح، فكر في إزالة المكون بالكامل

3. تنفيذ استبدال المكون بوظيفة معادلة لها صيانة أمنية نشطة



الضوابط التعويضية:

1. تنفيذ قواعد جدار حماية تطبيقات الويب (WAF) للكشف عن حقن سمات iframe src وحظره

2. نشر رؤوس سياسة أمان المحتوى (CSP): frame-src 'self' لتقييد مصادر iframe

3. تفعيل مكونات أمان WordPress (Wordfence, Sucuri) مع قواعد كشف XSS

4. تنفيذ التحقق الصارم من المدخلات على مستوى WordPress باستخدام sanitize_text_field() و wp_kses_post()

5. إجراء مراجعة الكود لأي اختصارات مخصصة للبحث عن ثغرات مماثلة



قواعد الكشف:

1. مراقبة تعديلات الاختصار التي تحتوي على 'javascript:' أو 'data:' أو معالجات الأحداث في محتوى المنشورات/الصفحات

2. تنبيه عند إنشاء حساب مستخدم على مستوى المساهم أو رفع الأذونات

3. تسجيل جميع قيم سمات الاختصار التي تحتوي على أحرف خاصة: <, >, ", ', &

4. مراجعة قاعدة بيانات WordPress للبحث عن منشورات تحتوي على [dideo id=...] بأنماط مريبة
📋 خريطة الامتثال التنظيمي
🟢 NCA ECC 2024
A.5.1.1 - Information security policies and procedures A.6.1.1 - Access control policy A.6.2.1 - User registration and access rights management A.12.2.1 - Restrictions on software installation A.14.2.1 - Secure development policy A.14.2.5 - Secure development environment
🔵 SAMA CSF
ID.GV-1 - Organizational processes to manage cybersecurity risk PR.AC-1 - Access control policy and processes PR.DS-2 - Data security and protection DE.CM-1 - The network is monitored to detect potential cybersecurity events
🟡 ISO 27001:2022
6.2.1 - Screening/vetting 6.2.2 - Terms and conditions of employment 8.1.1 - Responsibility for assets 8.2.1 - User registration and access rights 8.2.2 - Privileged access rights 8.3.1 - Password management 8.3.2 - Review of user access rights 8.3.3 - Password management system 14.2.1 - Secure development policy 14.2.5 - Secure development environment
📊 CVSS Score
6.4
/ 10.0 — متوسط
📊 CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:L/I:L/A:N
Attack VectorN — None / Network
Attack ComplexityL — Low / Local
Privileges RequiredL — Low / Local
User InteractionN — None / Network
ScopeC — Changed
ConfidentialityL — Low / Local
IntegrityL — Low / Local
AvailabilityN — None / Network
📋 حقائق سريعة
الخطورة متوسط
CVSS Score6.4
CWECWE-79
EPSS0.03%
اختراق متاح لا
تصحيح متاح ✗ لا
تاريخ النشر 2026-05-27
المصدر nvd
المشاهدات 2
🇸🇦 درجة المخاطر السعودية
6.8
/ 10.0 — مخاطر السعودية
أولوية: HIGH
🏷️ الوسوم
CWE-79
⚡ إجراءات
🔗 NVD Official Page ⚡ Exploit-DB Search 🐙 GitHub PoC Search 🎯 MITRE ATT&CK 📊 CVE Details
مشاركة ثغرة
LinkedIn X / Twitter WhatsApp Telegram
📣 وجدت هذا مفيداً؟
شاركه مع شبكة الأمن السيبراني الخاصة بك
in لينكدإن 𝕏 تويتر 💬 واتساب ✈ تليجرام
🍪 إعدادات الخصوصية
سيزو للاستشارات — متوافق مع نظام حماية البيانات الشخصية السعودي (PDPL)
نستخدم ملفات تعريف الارتباط والتقنيات المشابهة لتوفير أفضل تجربة على منصتنا. يمكنك اختيار الأنواع التي تقبلها.
🔒
ملفات ضرورية Always On
مطلوبة لعمل الموقع بشكل صحيح. لا يمكن تعطيلها.
📋 الجلسات، CSRF، المصادقة، تفضيلات اللغة
📊
ملفات التحليلات
تساعدنا في فهم كيفية استخدام الزوار للموقع وتحسين الأداء.
📋 إحصائيات الصفحات، مدة الجلسة، مصدر الزيارة
⚙️
ملفات وظيفية
تتيح ميزات محسنة مثل تخصيص المحتوى والتفضيلات.
📋 السمة المظلمة/الفاتحة، حجم الخط، لوحات التحكم المخصصة
📣
ملفات تسويقية
تُستخدم لتقديم محتوى وإعلانات ذات صلة باهتماماتك.
📋 تتبع الحملات، إعادة الاستهداف، تحليلات وسائل التواصل
سياسة الخصوصية →
مساعد CISO الذكي
اسألني أي شيء · وثائق · دعم
🔐

عرّفنا بنفسك

أدخل بياناتك للوصول إلى المساعد الكامل

معلوماتك آمنة ولن تُشارك
💬
المساعد السيبراني
متصل — يرد في ثوانٍ
5 / 5
🔐 تحقق من هويتك

أدخل بريدك الإلكتروني لإرسال رمز تحقق قبل إرسال طلب الدعم.

Enter للإرسال · / للأوامر 0 / 2000
CISO AI · مدعوم بالذكاء الاصطناعي
✦ استطلاع سريع ساعدنا في تحسين منصة سيزو للاستشارات ملاحظاتك تشكّل مستقبل منصتنا — لا تستغرق سوى دقيقتين.
⚠ يرجى الإجابة على هذا السؤال للمتابعة

كيف تقيّم تجربتك العامة مع منصتنا؟

قيّم من 1 (ضعيف) إلى 5 (ممتاز)

🎉
شكراً جزيلاً!
تم تسجيل إجابتك بنجاح.