📧 info@ciso.sa | 📱 +966550939344 | الرياض، المملكة العربية السعودية
عن المنصة الأسئلة الشائعة اتصل بنا شروط الخدمة سياسة الخصوصية 🌐 English
🔐

مرحباً — سجّل دخولك أو أنشئ حساباً للوصول الكامل.

🔑 دخول ✨ حساب جديد
🌐 EN تسجيل الدخول إنشاء حساب
🔧 صيانة مجدولة — السبت 2:00-4:00 صباحاً. قد تكون بعض الميزات غير متاحة مؤقتاً.    ●   
💎
خطة Pro بخصم 50% احصل على جميع ميزات AI والتقارير غير المحدودة والدعم ذي الأولوية. الترقية الآن
مركز البحث
ESC للإغلاق
تنقل فتح Ctrl+K بحث
CISO Consulting
Global vulnerability تكنولوجيا المعلومات CRITICAL 42m Global supply_chain تطوير البرمجيات والتكنولوجيا HIGH 1h Global vulnerability تكنولوجيا المعلومات والاتصالات CRITICAL 1h Global apt الخدمات المالية والمصرفية HIGH 7h Global vulnerability قطاع التكنولوجيا وتطوير البرمجيات HIGH 10h Global vulnerability الحكومة والوكالات الفيدرالية CRITICAL 10h Global supply_chain تطوير البرمجيات والنظم البيئية مفتوحة المصدر HIGH 11h Global vulnerability برامج المؤسسات/البرامج كخدمة MEDIUM 11h Global supply_chain تطوير البرمجيات HIGH 11h Global general التأمين/إدارة المخاطر HIGH 12h Global vulnerability تكنولوجيا المعلومات CRITICAL 42m Global supply_chain تطوير البرمجيات والتكنولوجيا HIGH 1h Global vulnerability تكنولوجيا المعلومات والاتصالات CRITICAL 1h Global apt الخدمات المالية والمصرفية HIGH 7h Global vulnerability قطاع التكنولوجيا وتطوير البرمجيات HIGH 10h Global vulnerability الحكومة والوكالات الفيدرالية CRITICAL 10h Global supply_chain تطوير البرمجيات والنظم البيئية مفتوحة المصدر HIGH 11h Global vulnerability برامج المؤسسات/البرامج كخدمة MEDIUM 11h Global supply_chain تطوير البرمجيات HIGH 11h Global general التأمين/إدارة المخاطر HIGH 12h Global vulnerability تكنولوجيا المعلومات CRITICAL 42m Global supply_chain تطوير البرمجيات والتكنولوجيا HIGH 1h Global vulnerability تكنولوجيا المعلومات والاتصالات CRITICAL 1h Global apt الخدمات المالية والمصرفية HIGH 7h Global vulnerability قطاع التكنولوجيا وتطوير البرمجيات HIGH 10h Global vulnerability الحكومة والوكالات الفيدرالية CRITICAL 10h Global supply_chain تطوير البرمجيات والنظم البيئية مفتوحة المصدر HIGH 11h Global vulnerability برامج المؤسسات/البرامج كخدمة MEDIUM 11h Global supply_chain تطوير البرمجيات HIGH 11h Global general التأمين/إدارة المخاطر HIGH 12h
الثغرات

CVE-2026-8867

متوسط
CWE-79 — نوع الضعف
نُشر: May 27, 2026  ·  آخر تحديث: May 30, 2026  ·  المصدر: NVD
CVSS v3
6.4
🔗 NVD الرسمي
📄 الوصف (الإنجليزية)

The Post Category Gallery plugin for WordPress is vulnerable to Stored Cross-Site Scripting via the plugin's 'postcategorygallery' shortcode in versions up to, and including, 1.0.0. This is due to insufficient input sanitization and output escaping on user-supplied shortcode attributes (such as total_width, color_scheme, and caption_font_size) inside the sc_horcatbar() function, which are concatenated directly into HTML attribute values. This makes it possible for authenticated attackers, with contributor-level access and above, to inject arbitrary web scripts in pages that will execute whenever a user accesses an injected page.

🤖 ملخص AI

The Post Category Gallery WordPress plugin (versions ≤1.0.0) contains a Stored XSS vulnerability in its shortcode handler that allows authenticated contributors to inject malicious scripts through insufficiently sanitized attributes. While requiring contributor-level access, successful exploitation enables persistent script injection affecting all site visitors. This poses a moderate risk to Saudi organizations using WordPress for content management, particularly those with multiple content contributors.

📄 الوصف (العربية)

🤖 التحليل الذكي آخر تحليل: May 28, 2026 11:49
🇸🇦 التأثير على المملكة العربية السعودية
Saudi organizations most affected include: (1) Government agencies and municipalities using WordPress for public information portals and citizen services; (2) Educational institutions (universities, schools) managing course content and announcements; (3) Healthcare facilities publishing patient information and medical resources; (4) Media and publishing companies; (5) Small-to-medium enterprises using WordPress for corporate websites. The vulnerability is particularly concerning for organizations with distributed content teams where contributor access is common. Compromised sites could spread malware, harvest credentials, or conduct phishing attacks against Saudi users.
🏢 القطاعات السعودية المتأثرة
Government and Public Administration Education Healthcare Media and Publishing Telecommunications Retail and E-commerce Financial Services Non-Profit Organizations
⚖️ درجة المخاطر السعودية (AI)
6.2
/ 10.0
🔧 Remediation Steps (English)
IMMEDIATE ACTIONS:

1. Audit all WordPress installations using Post Category Gallery plugin and identify version numbers

2. Review user access logs to identify contributors who may have injected malicious content

3. Scan published pages/posts containing 'postcategorygallery' shortcodes for suspicious attribute values



PATCHING GUIDANCE:

1. Disable the Post Category Gallery plugin immediately until a patched version is available

2. If plugin functionality is critical, contact the plugin developer for security updates

3. Monitor the plugin's repository for version updates addressing CVE-2026-8867



COMPENSATING CONTROLS (if plugin cannot be disabled):

1. Restrict contributor role to trusted personnel only; audit existing contributors

2. Implement Web Application Firewall (WAF) rules to detect/block XSS patterns in shortcode attributes

3. Enable WordPress security plugins (e.g., Wordfence, Sucuri) with XSS detection

4. Implement Content Security Policy (CSP) headers to restrict inline script execution

5. Use WordPress hooks to sanitize shortcode output: add_filter('shortcode_atts_postcategorygallery', 'sanitize_callback')



DETECTION RULES:

1. Monitor database for 'postcategorygallery' shortcodes containing: <script, javascript:, onerror=, onload=, onclick=

2. Log all contributor-level post/page modifications

3. Alert on any changes to posts containing this shortcode

4. Review page source for unexpected inline scripts in rendered HTML
🔧 خطوات المعالجة (العربية)
الإجراءات الفورية:

1. تدقيق جميع تثبيتات WordPress التي تستخدم مكون Post Category Gallery وتحديد أرقام الإصدارات

2. مراجعة سجلات الوصول للمستخدمين لتحديد المساهمين الذين قد يكونون قد حقنوا محتوى ضاراً

3. فحص الصفحات/المنشورات المنشورة التي تحتوي على اختصارات 'postcategorygallery' بحثاً عن قيم سمات مريبة



إرشادات التصحيح:

1. تعطيل مكون Post Category Gallery فوراً حتى يتوفر إصدار معدل

2. إذا كانت وظيفة المكون حرجة، اتصل بمطور المكون للحصول على تحديثات الأمان

3. مراقبة مستودع المكون للحصول على تحديثات الإصدار التي تعالج CVE-2026-8867



الضوابط البديلة (إذا لم يكن من الممكن تعطيل المكون):

1. تقييد دور المساهم للموظفين الموثوقين فقط؛ تدقيق المساهمين الحاليين

2. تنفيذ قواعد جدار حماية تطبيقات الويب (WAF) للكشف عن أنماط XSS وحجبها

3. تفعيل مكونات أمان WordPress (مثل Wordfence و Sucuri) مع كشف XSS

4. تنفيذ رؤوس سياسة أمان المحتوى (CSP) لتقييد تنفيذ البرامج النصية المضمنة

5. استخدام خطافات WordPress لتعقيم مخرجات الاختصار



قواعد الكشف:

1. مراقبة قاعدة البيانات بحثاً عن اختصارات 'postcategorygallery' تحتوي على: <script أو javascript: أو onerror= أو onload= أو onclick=

2. تسجيل جميع تعديلات المنشورات/الصفحات على مستوى المساهم

3. التنبيه على أي تغييرات في المنشورات التي تحتوي على هذا الاختصار

4. مراجعة مصدر الصفحة بحثاً عن برامج نصية مضمنة غير متوقعة في HTML المعروض
📋 خريطة الامتثال التنظيمي
🟢 NCA ECC 2024
5.1.1 - Input validation and sanitization controls 5.2.1 - Output encoding and escaping requirements 5.3.2 - Web application security controls 6.1.1 - Vulnerability management and patching
🔵 SAMA CSF
ID.SC-7 - Software, firmware, and information integrity PR.DS-2 - Data-in-transit is protected PR.IP-1 - System development and acquisition processes DE.CM-1 - The network is monitored for unauthorized connections
🟡 ISO 27001:2022
A.14.2.1 - Secure development policy A.14.2.5 - Secure development environment A.14.3.1 - Separation of development, test and production environments A.12.6.1 - Management of technical vulnerabilities
🟣 PCI DSS v4.0.1
6.5.1 - Injection flaws (including XSS) 6.5.7 - Cross-site scripting (XSS) 6.2 - Ensure security patches are installed
📊 CVSS Score
6.4
/ 10.0 — متوسط
📊 CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:L/I:L/A:N
Attack VectorN — None / Network
Attack ComplexityL — Low / Local
Privileges RequiredL — Low / Local
User InteractionN — None / Network
ScopeC — Changed
ConfidentialityL — Low / Local
IntegrityL — Low / Local
AvailabilityN — None / Network
📋 حقائق سريعة
الخطورة متوسط
CVSS Score6.4
CWECWE-79
EPSS0.03%
اختراق متاح لا
تصحيح متاح ✗ لا
تاريخ النشر 2026-05-27
المصدر nvd
المشاهدات 2
🇸🇦 درجة المخاطر السعودية
6.2
/ 10.0 — مخاطر السعودية
أولوية: HIGH
🏷️ الوسوم
CWE-79
⚡ إجراءات
🔗 NVD Official Page ⚡ Exploit-DB Search 🐙 GitHub PoC Search 🎯 MITRE ATT&CK 📊 CVE Details
مشاركة ثغرة
LinkedIn X / Twitter WhatsApp Telegram
📣 وجدت هذا مفيداً؟
شاركه مع شبكة الأمن السيبراني الخاصة بك
in لينكدإن 𝕏 تويتر 💬 واتساب ✈ تليجرام
🍪 إعدادات الخصوصية
سيزو للاستشارات — متوافق مع نظام حماية البيانات الشخصية السعودي (PDPL)
نستخدم ملفات تعريف الارتباط والتقنيات المشابهة لتوفير أفضل تجربة على منصتنا. يمكنك اختيار الأنواع التي تقبلها.
🔒
ملفات ضرورية Always On
مطلوبة لعمل الموقع بشكل صحيح. لا يمكن تعطيلها.
📋 الجلسات، CSRF، المصادقة، تفضيلات اللغة
📊
ملفات التحليلات
تساعدنا في فهم كيفية استخدام الزوار للموقع وتحسين الأداء.
📋 إحصائيات الصفحات، مدة الجلسة، مصدر الزيارة
⚙️
ملفات وظيفية
تتيح ميزات محسنة مثل تخصيص المحتوى والتفضيلات.
📋 السمة المظلمة/الفاتحة، حجم الخط، لوحات التحكم المخصصة
📣
ملفات تسويقية
تُستخدم لتقديم محتوى وإعلانات ذات صلة باهتماماتك.
📋 تتبع الحملات، إعادة الاستهداف، تحليلات وسائل التواصل
سياسة الخصوصية →
مساعد CISO الذكي
اسألني أي شيء · وثائق · دعم
🔐

عرّفنا بنفسك

أدخل بياناتك للوصول إلى المساعد الكامل

معلوماتك آمنة ولن تُشارك
💬
المساعد السيبراني
متصل — يرد في ثوانٍ
5 / 5
🔐 تحقق من هويتك

أدخل بريدك الإلكتروني لإرسال رمز تحقق قبل إرسال طلب الدعم.

Enter للإرسال · / للأوامر 0 / 2000
CISO AI · مدعوم بالذكاء الاصطناعي
✦ استطلاع سريع ساعدنا في تحسين منصة سيزو للاستشارات ملاحظاتك تشكّل مستقبل منصتنا — لا تستغرق سوى دقيقتين.
⚠ يرجى الإجابة على هذا السؤال للمتابعة

كيف تقيّم تجربتك العامة مع منصتنا؟

قيّم من 1 (ضعيف) إلى 5 (ممتاز)

🎉
شكراً جزيلاً!
تم تسجيل إجابتك بنجاح.