📧 info@ciso.sa | 📱 +966550939344 | الرياض، المملكة العربية السعودية
عن المنصة الأسئلة الشائعة اتصل بنا شروط الخدمة سياسة الخصوصية 🌐 English
🔐

مرحباً — سجّل دخولك أو أنشئ حساباً للوصول الكامل.

🔑 دخول ✨ حساب جديد
🌐 EN تسجيل الدخول إنشاء حساب
🔧 صيانة مجدولة — السبت 2:00-4:00 صباحاً. قد تكون بعض الميزات غير متاحة مؤقتاً.    ●   
💎
خطة Pro بخصم 50% احصل على جميع ميزات AI والتقارير غير المحدودة والدعم ذي الأولوية. الترقية الآن
مركز البحث
ESC للإغلاق
تنقل فتح Ctrl+K بحث
CISO Consulting
Global general قطاع التكنولوجيا والذكاء الاصطناعي MEDIUM 1h Global general قطاع التكنولوجيا والذكاء الاصطناعي HIGH 2h Global vulnerability التعليم العالي CRITICAL 11h Global data_breach القطاع الحكومي HIGH 12h Global supply_chain تطوير البرمجيات والمجتمعات مفتوحة المصدر CRITICAL 12h Global malware تطوير البرمجيات CRITICAL 12h Global phishing قطاعات متعددة HIGH 12h Global vulnerability تطبيقات الويب CRITICAL 13h Global apt البنية التحتية الحرجة CRITICAL 13h Global ransomware قطاعات متعددة CRITICAL 13h Global general قطاع التكنولوجيا والذكاء الاصطناعي MEDIUM 1h Global general قطاع التكنولوجيا والذكاء الاصطناعي HIGH 2h Global vulnerability التعليم العالي CRITICAL 11h Global data_breach القطاع الحكومي HIGH 12h Global supply_chain تطوير البرمجيات والمجتمعات مفتوحة المصدر CRITICAL 12h Global malware تطوير البرمجيات CRITICAL 12h Global phishing قطاعات متعددة HIGH 12h Global vulnerability تطبيقات الويب CRITICAL 13h Global apt البنية التحتية الحرجة CRITICAL 13h Global ransomware قطاعات متعددة CRITICAL 13h Global general قطاع التكنولوجيا والذكاء الاصطناعي MEDIUM 1h Global general قطاع التكنولوجيا والذكاء الاصطناعي HIGH 2h Global vulnerability التعليم العالي CRITICAL 11h Global data_breach القطاع الحكومي HIGH 12h Global supply_chain تطوير البرمجيات والمجتمعات مفتوحة المصدر CRITICAL 12h Global malware تطوير البرمجيات CRITICAL 12h Global phishing قطاعات متعددة HIGH 12h Global vulnerability تطبيقات الويب CRITICAL 13h Global apt البنية التحتية الحرجة CRITICAL 13h Global ransomware قطاعات متعددة CRITICAL 13h
📅 النشرة الأمنية اليومية — 02 May 2026

🇸🇦 النشرة الأمنية السعودية

جميع الثغرات الأمنية والتهديدات والأخبار المجمّعة اليوم من مصادر موثوقة — محدّث باستمرار

02 May 2026 اليوم
200 ثغرة
6 تهديد
2 خبر
1 حرجة
2 CISA KEV
🛡 الثغرات الأمنية (CVE)
200 ثغرة
CVE-2026-31431
Linux Kernel — CVE-2026-31431 Linux Kernel contains an incorrect resource transfer between spheres vulnerability that co
05:59 KSA
حرج CVSS 9.8 ⚠ CISA KEV
Linux Kernel — CVE-2026-31431 Linux Kernel contains an incorrect resource transfer between spheres vulnerability that could allow for privilege escalation. Required Action: "Apply mitigations per vendor instructions, follow applicable BOD 22-01 guidance for cloud services, or di…
CVE-2026-2052
ثغرة تنفيذ أكواد بعيدة في إضافة Widget Options لـ WordPress عبر绕过Eval في Display Logic
01:48 KSA
عالٍ CVSS 8.8 CWE-94
تحتوي إضافة Widget Options على ثغرة تنفيذ أكواد بعيدة في ميزة Display Logic التي تستخدم دالة eval() مع قائمة حظر/سماح غير كافية. يمكن للمهاجمين المصرح لهم بمستوى المساهم أو أعلى تجاوز الفلاتر الأمنية باستخدام array_map والدمج النصي لتنفيذ أكواد عشوائية على الخادم.
CVE-2026-7607
تجاوز المخزن المؤقت في برنامج TRENDnet TEW-821DAP للتحديث التلقائي
01:48 KSA
عالٍ CVSS 8.8 CWE-119
ثغرة تجاوز المخزن المؤقت في وظيفة التحديث التلقائي للبرنامج الثابت في جهاز TRENDnet TEW-821DAP الإصدار 1.12B01 تسمح بتنفيذ كود عن بعد. المنتج انتهت صلاحيته منذ 8 سنوات ولا يتلقى أي تحديثات أمان من المورد.
CVE-2026-6963
ثغرة في إضافة WP Mail Gateway - الوصول غير المصرح به لإعدادات SMTP
01:48 KSA
عالٍ CVSS 8.8 CWE-862
تحتوي إضافة WP Mail Gateway للإصدارات حتى 1.8 على ثغرة في فحص الصلاحيات على إجراء AJAX wmg_save_provider_config. يمكن للمستخدمين المصرح لهم بمستوى المشترك أو أعلى تعديل إعدادات SMTP وإعادة توجيه البريد الإلكتروني. يمكن استغلال هذه الثغرة للوصول غير المصرح به إلى حسابات المسؤولين.
CVE-2026-7641
ثغرة تصعيد الامتيازات في إضافة WordPress عبر قائمة حجب ناقصة لمفاتيح Multisite
01:48 KSA
عالٍ CVSS 8.8 CWE-269
تحتوي إضافة استيراد وتصدير المستخدمين والعملاء على ثغرة تصعيد امتيازات في دالة save_extra_user_profile_fields() حيث تفشل قائمة الحجب في منع مفاتيح meta الخاصة بمواقع فرعية متعددة مثل wp_2_capabilities و wp_2_user_level. يمكن للمستخدمين المصرح لهم بمستوى المشترك وما فوقه استغلال ه…
CVE-2026-7489
حقن SQL في نظام CTMS من Sunnet يسمح بتنفيذ أوامر بعيدة للمستخدمين المصرحين
01:48 KSA
عالٍ CVSS 8.8 CWE-89
ثغرة حقن SQL في نظام CTMS من Sunnet تسمح للمستخدمين المصرحين بحقن أوامر SQL عشوائية في قاعدة البيانات. يمكن للمهاجمين استخراج البيانات الحساسة أو تعديل السجلات أو حذف المعلومات الحرجة. تتطلب الثغرة مصادقة مسبقة لكن تشكل خطراً عالياً على سرية وسلامة البيانات.
CVE-2026-7491
School App developed by Zyosoft has an Insecure Direct Object Reference vulnerability, allowing authenticated remote att
19:18 KSA
عالٍ CVSS 8.1 CWE-639
School App developed by Zyosoft has an Insecure Direct Object Reference vulnerability, allowing authenticated remote attackers to modify a specific parameter to read and modify other users' data.
CVE-2026-7647
ثغرة حقن كائنات PHP في Profile Builder Pro عبر معالج AJAX غير مصرح
01:48 KSA
عالٍ CVSS 8.1 CWE-502
ثغرة حقن كائنات PHP في مكون Profile Builder Pro تسمح للمهاجمين غير المصرح لهم بحقن كائنات PHP عشوائية عبر معامل POST 'args' في معالج AJAX wppb_request_users_pins_action_callback. المعالج مسجل مع خطافات wp_ajax_ و wp_ajax_nopriv_ مما يجعله متاحاً للمستخدمين غير المصرح لهم تماماً د…
CVE-2026-2554
The WCFM – Frontend Manager for WooCommerce along with Bookings Subscription Listings Compatible plugin for WordPress is
22:54 KSA
عالٍ CVSS 8.1 CWE-639
The WCFM – Frontend Manager for WooCommerce along with Bookings Subscription Listings Compatible plugin for WordPress is vulnerable to Insecure Direct Object Reference in all versions up to, and including, 6.7.25 via the 'wcfm_delete_wcfm_customer' due to missing validation on th…
CVE-2021-47869
ثغرة مسار الخدمة غير المقتبس في Brother BRAdmin Professional 3.75
04:01 KSA
عالٍ CVSS 7.8 CWE-428
تحتوي نسخة 3.75 من Brother BRAdmin Professional على ثغرة في مسار الخدمة غير المقتبس تؤثر على خدمة BRA_Scheduler. يمكن للمهاجمين المحليين استغلال هذه الثغرة بوضع ملف تنفيذي ضار في مجلد البرنامج للحصول على امتيازات النظام الكاملة.
CVE-2021-47874
ثغرة مسار الخدمة غير المقتبس في VFS for Git لتصعيد الامتيازات
04:01 KSA
عالٍ CVSS 7.8 CWE-428
ثغرة مسار الخدمة غير المقتبس في VFS for Git 1.0.21014.1 تسمح للمهاجمين المحليين بتنفيذ كود عشوائي بامتيازات النظام. يمكن للمهاجمين استغلال هذه الثغرة بحقن ملفات تنفيذية ضارة في مسار الخدمة. يتم تنفيذ الكود الضار عند بدء الخدمة أو إعادة تشغيل النظام.
CVE-2021-47878
ثغرة مسار الخدمة غير المقتبس في eBeam Education Suite لتصعيد الامتيازات
04:01 KSA
عالٍ CVSS 7.8 CWE-428
تحتوي خدمة eBeam Device في الإصدار 2.5.0.9 على ثغرة مسار غير مقتبس تسمح بتصعيد الامتيازات. يمكن للمهاجمين المحليين استغلال هذه الثغرة لتنفيذ أكواد ضارة بامتيازات النظام العليا. تؤثر هذه الثغرة على الأنظمة التعليمية التي تستخدم هذه الحزمة.
CVE-2021-47879
ثغرة مسار الخدمة غير المقتبس في eBeam Interactive Suite 3.6 لتصعيد الامتيازات
04:01 KSA
عالٍ CVSS 7.8 CWE-428
تحتوي eBeam Interactive Suite 3.6 على ثغرة في مسار الخدمة غير المقتبس في خدمة eBeam Stylus Driver. يمكن للمهاجمين المحليين استغلال هذه الثغرة لحقن ملفات تنفيذية خبيثة تعمل بصلاحيات النظام الكاملة. هذا يسمح بتصعيد الامتيازات والسيطرة الكاملة على النظام.
CVE-2021-47880
ثغرة مسار الخدمة غير المحاط بعلامات اقتباس في أداة Realtek اللاسلكية
04:01 KSA
عالٍ CVSS 7.8 CWE-428
ثغرة مسار الخدمة غير المحاط بعلامات اقتباس في أداة Realtek Wireless LAN Utility الإصدار 700.1631 تسمح للمهاجمين المحليين بتنفيذ أكواد ضارة برتبة امتيازات النظام. يستغل المهاجمون هذه الثغرة بإدراج ملفات تنفيذية ضارة في مسار جذر النظام التي تعمل عند بدء التطبيق أو إعادة تشغيل النظا…
CVE-2021-47882
ثغرة مسار الخدمة غير المقتبس في FreeLAN 2.2 لتنفيذ كود عشوائي
04:01 KSA
عالٍ CVSS 7.8 CWE-428
يؤثر هذا الضعف على تكوين خدمة Windows في FreeLAN 2.2 حيث لم يتم اقتباس مسار الملف التنفيذي بشكل صحيح. يمكن للمهاجمين المحليين استغلال هذه الثغرة لحقن ملفات تنفيذية ضارة في المسار الذي سيتم تنفيذه بامتيازات النظام العالية. هذا يسمح بالحصول على امتيازات كاملة على النظام المتأثر.
CVE-2021-47883
ثغرة مسار الخدمة غير المقتبس في Sandboxie Plus 0.7.2 لرفع الامتيازات
04:01 KSA
عالٍ CVSS 7.8 CWE-428
تحتوي نسخة Sandboxie Plus 0.7.2 على ثغرة في مسار الخدمة غير المقتبس حيث لا يتم وضع علامات اقتباس حول مسار الملف التنفيذي للخدمة. يمكن للمهاجمين المحليين استغلال هذه الثغرة بحقن ملفات تنفيذية خبيثة في المسار لتنفيذها برصاحيات النظام الكاملة. هذا يسمح برفع الامتيازات من حساب مستخدم…
CVE-2021-47886
ثغرة مسار الخدمة غير المقتبسة في Pingzapper 2.3.1 لتصعيد الامتيازات
04:01 KSA
عالٍ CVSS 7.8 CWE-428
ثغرة Pingzapper 2.3.1 تنشأ من عدم استخدام علامات اقتباس في مسار ملف الخدمة القابل للتنفيذ. يمكن للمهاجمين المحليين استغلال هذه الثغرة لحقن برامج ضارة وتصعيد امتيازاتهم إلى مستوى النظام. هذا يشكل خطراً كبيراً على أمان الأنظمة المؤسسية.
CVE-2022-50933
ثغرة مسار الخدمة غير المقتبس في Cain & Abel 4.9.56 لتصعيد الامتيازات
04:01 KSA
عالٍ CVSS 7.8 CWE-428
يحتوي Cain & Abel 4.9.56 على ثغرة في مسار الخدمة غير المقتبس (CWE-428) حيث لا يتم تحديد المسار الكامل للملف القابل للتنفيذ بشكل صحيح. يمكن للمهاجمين المحليين استغلال هذه الثغرة بحقن ملفات قابلة للتنفيذ ضارة في مسار البحث. عند تشغيل الخدمة، سيتم تنفيذ الملف الضار بصلاحيات LocalSys…
CVE-2023-54331
ثغرة مسار الخدمة غير المقتبس في Outline 1.6.0 لتنفيذ أكواد تعسفية
04:01 KSA
عالٍ CVSS 7.8 CWE-428
ثغرة مسار الخدمة غير المقتبس في Outline 1.6.0 تسمح للمهاجمين المحليين بتنفيذ أكواد تعسفية برصاحيات النظام. يستغل المهاجمون عدم اقتباس مسار OutlineService لحقن أكواد ضارة تُنفذ برصاحيات LocalSystem. هذه الثغرة تتطلب وصول محلي لكن تؤدي إلى تصعيد امتيازات كامل.
CVE-2024-14021
ثغرة عدم التسلسل الآمن في LlamaIndex BGEM3Index.load_from_disk() تنفيذ كود بعيد
04:01 KSA
عالٍ CVSS 7.8 CWE-502
تحتوي ثغرة CVE-2024-14021 على مشكلة في وظيفة BGEM3Index.load_from_disk() التي تحمل ملفات pickle بدون التحقق من صحتها. يمكن لمهاجم توفير دليل مستمر يحتوي على ملف pickle ضار لتنفيذ كود تعسفي على نظام الضحية. هذا يؤثر على جميع التطبيقات التي تستخدم LlamaIndex لتحميل نماذج التضمين من…
CVE-2024-14032
ثغرة تصعيد الامتيازات في Twitch Studio عبر خدمة XPC غير محمية
11:36 KSA
عالٍ CVSS 7.8 CWE-862
تحتوي نسخ Twitch Studio 0.114.8 وما قبلها على ثغرة تصعيد امتيازات في أداة المساعد ذات الامتيازات تسمح للمهاجمين المحليين بتنفيذ كود عشوائي بصلاحيات الجذر. يمكن للمهاجمين استغلال الطريقة installFromPath:toPath:withReply: لاستبدال ملفات النظام والملفات الثنائية ذات الامتيازات.
CVE-2024-56808
حقن الأوامر في إضافة Media Streaming (CVE-2024-56808)
04:01 KSA
عالٍ CVSS 7.8 CWE-78
ثغرة حقن الأوامر في إضافة Media Streaming تسمح للمهاجمين الذين لديهم حساب مستخدم وإمكانية الوصول إلى الشبكة المحلية بتنفيذ أوامر عشوائية على النظام. تم إصلاح الثغرة في الإصدار 500.1.1.6 وما بعده.
CVE-2025-11002
ثغرة اجتياز الدليل في 7-Zip لتنفيذ التعليمات البرمجية عن بعد
04:01 KSA
عالٍ CVSS 7.8 CWE-22
تحتوي هذه الثغرة على عيب في معالجة الروابط الرمزية داخل ملفات ZIP مما يسمح باجتياز الدليل. يمكن للبيانات المصممة خصيصاً في ملف ZIP أن تسبب العملية للانتقال إلى أدلة غير مقصودة. يمكن للمهاجم الاستفادة من هذه الثغرة لتنفيذ الكود في سياق حساب الخدمة.
CVE-2025-12793
ثغرة تحميل DLL في وكيل مدير برامج ASUS
04:01 KSA
عالٍ CVSS 7.8 CWE-426
تتيح هذه الثغرة للمهاجم المحلي التلاعب بمسارات تحميل المكتبات الديناميكية (DLL) في تطبيق AsusSoftwareManagerAgent التابع لبرنامج ASUS MyASUS. يستطيع المهاجم وضع ملف DLL خبيث في موقع يتحكم به، مما يجبر التطبيق على تحميله وتنفيذ الأوامر الضارة بصلاحيات النظام. تصنف الثغرة ضمن CWE-4…
CVE-2025-13455
تجاوز المصادقة في ThinkPlus عبر تسجيل بصمة غير موثوقة
04:01 KSA
عالٍ CVSS 7.8 CWE-290
ثغرة في برنامج ThinkPlus تسمح لمستخدم محقق محليًا بتجاوز آليات المصادقة وتسجيل بصمات غير موثوقة في النظام. تتطلب الثغرة وصولاً فعليًا للجهاز وبيانات اعتماد صحيحة، مما يشكل خطراً على سلامة أنظمة التحقق البيومترية.
CVE-2025-15311
ثغرة تنفيذ كود غير مصرح به في جهاز Tanium
04:01 KSA
عالٍ CVSS 7.8 CWE-150
تعالج هذه الثغرة ضعفاً في جهاز Tanium Appliance يسمح بتنفيذ كود غير مصرح به من قبل المهاجمين. يؤثر هذا الضعف على سلامة الأنظمة الحساسة التي تعتمد على Tanium لإدارة الأصول والامتثال. يتطلب التصحيح الفوري لمنع الاستغلال المحتمل.
CVE-2025-33247
ثغرة تنفيذ أكواد بعيدة في NVIDIA Megatron LM عبر إعدادات التكمية غير الآمنة
23:54 KSA
عالٍ CVSS 7.8 CWE-502
تحتوي ثغرة CVE-2025-33247 على عيب في آلية تحميل إعدادات التكمية في NVIDIA Megatron LM يسمح بفك تسلسل غير آمن للبيانات. يمكن للمهاجمين استخدام ملفات إعدادات مصنوعة بشكل خاص لتنفيذ أكواد عشوائية بامتيازات عالية. هذا يشكل خطراً كبيراً على أنظمة التعلم الآلي والذكاء الاصطناعي في المؤ…
CVE-2025-33248
ثغرة تنفيذ كود بعيد في NVIDIA Megatron-LM عبر ملف تحويل هجين ضار
23:54 KSA
عالٍ CVSS 7.8 CWE-502
تحتوي ثغرة NVIDIA Megatron-LM على نقطة ضعف في سكريبت التحويل الهجين حيث يمكن للمهاجم إقناع المستخدم بتحميل ملف ضار. يمكن أن يؤدي الاستغلال الناجح إلى تنفيذ كود عشوائي وتصعيد الامتيازات والكشف عن المعلومات وتعديل البيانات على الأنظمة المتأثرة.
CVE-2025-36568
ثغرة حماية بيانات الاعتماد في Dell PowerProtect Data Domain BoostFS
12:32 KSA
عالٍ CVSS 7.8 CWE-522
تحتوي ثغرة CWE-522 على حماية غير كافية لبيانات الاعتماد في عميل BoostFS لإصدارات Dell PowerProtect Data Domain المتعددة. يمكن لمهاجم محلي منخفض الامتيازات استغلال هذه الثغرة للوصول إلى بيانات الاعتماد المخزنة بشكل غير آمن واستخدامها للوصول غير المصرح به إلى النظام.
CVE-2025-41359
ثغرة مسار الخدمة غير المقتبس في Small HTTP Server 3.06.36 لتصعيد الامتيازات
03:24 KSA
عالٍ CVSS 7.8 CWE-428
تؤثر هذه الثغرة على Small HTTP Server 3.06.36 من خلال مسار خدمة غير مقتبس يسمح لمهاجم محلي بتنفيذ كود عشوائي. يمكن للمهاجم وضع ملف تنفيذي ضار في مجلد بأولوية بحث أعلى ليتم تنفيذه بدلاً من الملف الشرعي.
CVE-2025-41727
ثغرة تجاوز المصادقة في مدير الجهاز تسمح بتصعيد الصلاحيات
04:01 KSA
عالٍ CVSS 7.8 CWE-420
تسمح هذه الثغرة لمستخدم محلي بصلاحيات منخفضة بتجاوز آليات المصادقة في واجهة مدير الجهاز. يمكن للمهاجم الاستفادة من هذا الضعف للوصول إلى صلاحيات إدارية وتنفيذ عمليات حساسة.
CVE-2025-47358
تسرب الذاكرة في واجهة mem_free عبر عنوان مساحة المستخدم المعدل
04:01 KSA
عالٍ CVSS 7.8 CWE-416
يحدث هذا الضعف عندما يتم تعديل عناوين مساحة المستخدم وتمريرها إلى واجهة mem_free، مما يؤدي إلى تحرير ذاكرة النواة بشكل غير مقصود. يمكن للمهاجمين استغلال هذا الضعف لإحداث انهيار النظام أو الحصول على امتيازات أعلى. التأثير يشمل فقدان التوفر والسلامة في الأنظمة المتأثرة.
CVE-2025-47359
فساد الذاكرة عبر حالة تنافس في واجهة برمجية متعددة الخيوط لتحرير الذاكرة
04:01 KSA
عالٍ CVSS 7.8 CWE-416
هذه الثغرة تنشأ من حالة تنافس حرجة حيث يمكن لخيوط متعددة الوصول إلى نفس موارد الذاكرة أثناء عملية التحرير، مما يسبب فساد الذاكرة. يمكن للمهاجمين استغلال هذا الضعف لتنفيذ كود عشوائي أو إحداث انهيار التطبيق.
CVE-2025-47380
فساد الذاكرة في معالجة أوامر التحكم بأجهزة الاستشعار
04:01 KSA
عالٍ CVSS 7.8 CWE-822
تنشأ هذه الثغرة من خلل في التعامل مع الذاكرة أثناء المعالجة المسبقة لأوامر IOCTL في مكونات المستشعرات بالبرامج الثابتة لكوالكوم. يصنف الخلل ضمن CWE-822 المتعلق بالوصول غير الموثوق للمؤشرات، مما يسمح بتجاوز حدود الذاكرة. يمكن للمهاجم المحلي استغلال هذه الثغرة لتنفيذ تعليمات برمجية…
CVE-2025-47389
تلف الذاكرة بسبب تجاوز عدد صحيح في توليد تقرير الشهادة
18:37 KSA
عالٍ CVSS 7.8 CWE-120
يتعلق هذا الضعف بتلف الذاكرة الناجم عن تجاوز عدد صحيح في عمليات نسخ المخزن المؤقت أثناء توليد تقارير الشهادة. قد يسمح للمهاجمين بتنفيذ كود عشوائي أو إحداث رفض الخدمة على الأنظمة المتأثرة.
CVE-2025-47390
تسرب الذاكرة في مشغل JPEG أثناء معالجة طلبات IOCTL
18:37 KSA
عالٍ CVSS 7.8 CWE-126
ثغرة تسرب الذاكرة في مشغل JPEG تحدث أثناء معالجة طلبات IOCTL قد تؤدي إلى تنفيذ أكواد عشوائية أو إيقاف الخدمة. تؤثر الثغرة على الأنظمة التي تعتمد على معالجة الصور الرقمية والتطبيقات المتعلقة بـ JPEG.
CVE-2025-47391
تلف الذاكرة في معالجة طلبات الإطار (CVE-2025-47391)
23:41 KSA
عالٍ CVSS 7.8 CWE-121
تحتوي هذه الثغرة على عيب في معالجة طلبات الإطار يؤدي إلى تلف الذاكرة، مما قد يسمح بتنفيذ أكواد عشوائية أو إنكار الخدمة. يؤثر هذا على الأنظمة التي تعالج طلبات الإطارات من المستخدمين دون التحقق الكافي من الحدود والصحة.
CVE-2025-47393
ثغرة فساد الذاكرة في برنامج تشغيل النواة (CVE-2025-47393)
04:01 KSA
عالٍ CVSS 7.8 CWE-129
تؤثر هذه الثغرة الأمنية على برامج تشغيل النواة في منصات كوالكوم المتعددة بما في ذلك QAM8255P وQAM8650P وQAM8775P وQAMSRV1H وQAMSRV1M وQCA6595. تنشأ الثغرة من خلل في التحقق من صحة حدود المصفوفة (CWE-129) مما يسمح بالوصول غير المصرح به إلى مواقع الذاكرة. يمكن للمهاجم المحلي استغلال…
CVE-2025-47397
تلف ذاكرة GPU عبر أخطاء تعيين IOMMU غير المفحوصة في قوائم Scatter-Gather
04:01 KSA
عالٍ CVSS 7.8 CWE-401
تحدث هذه الثغرة عندما تفشل عمليات تعيين ذاكرة GPU في التحقق من أخطاء IOMMU بشكل صحيح، مما يؤدي إلى تلف الذاكرة. يمكن للمهاجمين المحليين استغلال هذا الضعف للحصول على امتيازات أعلى أو إيقاف الخدمات.
CVE-2025-62842
ثغرة اجتياز المسار في HBS 3 تسمح بقراءة وتعديل الملفات عبر الوصول المحلي للشبكة
04:01 KSA
عالٍ CVSS 7.8 CWE-73
تؤثر هذه الثغرة على HBS 3 Hybrid Backup Sync وتسمح للمهاجمين الذين لديهم وصول محلي للشبكة باستغلال التحكم الخارجي في أسماء الملفات والمسارات. يمكن للمهاجمين قراءة أو تعديل الملفات والمجلدات التعسفية على الأنظمة المتأثرة.
CVE-2025-68817
ثغرة استخدام بعد التحرير في إدارة اتصالات الشجرة بـ ksmbd
04:01 KSA
عالٍ CVSS 7.8 CWE-416
تحدث هذه الثغرة في خادم SMB بنواة Linux عندما يتم تحرير كائن اتصال الشجرة (tcon) على مسار قطع الاتصال بينما يحتفظ مسار آخر بمرجع نشط له. يؤدي هذا إلى حالة تنافس حرجة حيث قد يحاول المسار الثاني تنفيذ عمليات على الذاكرة المحررة بالفعل.
CVE-2026-20970
التحكم في الوصول غير الصحيح في SLocation يسمح بتنفيذ واجهات برمجية مميزة
04:01 KSA
عالٍ CVSS 7.8
تتيح هذه الثغرة الأمنية للمهاجمين المحليين استغلال ضعف في آلية التحكم بالوصول في خدمة SLocation الخاصة بأجهزة سامسونج، مما يمكنهم من تنفيذ واجهات برمجية ذات صلاحيات مرتفعة دون المرور بعمليات المصادقة والتفويض المطلوبة. يمكن استغلال الثغرة من قبل تطبيقات خبيثة مثبتة على الجهاز للو…
CVE-2026-20971
ثغرة استخدام بعد التحرير في برنامج تشغيل PROCA تسمح بتنفيذ كود محلي
04:01 KSA
عالٍ CVSS 7.8 CWE-416
تؤثر هذه الثغرة الأمنية على برنامج تشغيل PROCA في أجهزة سامسونج التي تعمل بنظام أندرويد 13.0، حيث تنشأ من خلل في إدارة الذاكرة يسمح باستخدام مؤشرات الذاكرة بعد تحريرها. يمكن للمهاجم المحلي الذي لديه وصول فعلي أو امتيازات محلية على الجهاز استغلال هذا الخلل لتنفيذ تعليمات برمجية عش…
CVE-2026-20976
تنفيذ نصوص برمجية عشوائية في متجر Galaxy من سامسونج عبر تجاوز التحقق من الإدخال
04:01 KSA
عالٍ CVSS 7.8
تمثل هذه الثغرة الأمنية خللاً في آلية التحقق من صحة المدخلات في تطبيق متجر سامسونج جالاكسي، مما يتيح للمهاجم المحلي تنفيذ نصوص برمجية ضارة على الأجهزة المتأثرة. يمكن استغلال هذه الثغرة من قبل تطبيقات خبيثة مثبتة على الجهاز أو مستخدم ضار لديه وصول فعلي للجهاز. قد يؤدي الاستغلال ال…
CVE-2026-21678
تجاوز المخزن المؤقت في دالة IccTagXml() في مكتبة iccDEV
04:01 KSA
عالٍ CVSS 7.8 CWE-20
تؤثر هذه الثغرة الأمنية على مكتبة iccDEV المستخدمة في إدارة ملفات تعريف الألوان ICC في أنظمة معالجة الصور والطباعة. يمكن للمهاجم استغلال خلل في التحقق من صحة المدخلات (CWE-20) في دالة IccTagXml() لإحداث تجاوز في المخزن المؤقت للذاكرة. يتيح هذا الاستغلال تنفيذ أكواد برمجية خبيثة ع…
CVE-2026-22187
ثغرة فك التسلسل غير الآمن في ملفات ذاكرة التخزين المؤقت بـ Bio-Formats
04:01 KSA
عالٍ CVSS 7.8 CWE-502
تؤثر هذه الثغرة على مكتبة Bio-Formats المستخدمة في معالجة الصور العلمية والطبية، حيث تقوم فئة loci.formats.Memoizer بتحميل ملفات التخزين المؤقت (.bfmemo) وإلغاء تسلسلها تلقائياً دون أي فحوصات للتحقق من السلامة أو الثقة. يستغل المهاجم هذه الثغرة من خلال إنشاء ملف .bfmemo ضار وإرفا…
CVE-2026-22607
سوء تصنيف Fickling لمحلل Pickle في cProfile وتنفيذ الأكواد
04:01 KSA
عالٍ CVSS 7.8 CWE-184
تؤثر هذه الثغرة الأمنية على أداة Fickling المستخدمة لتحليل وفحص ملفات Python pickle. الخلل يكمن في عدم معاملة وحدة cProfile كوحدة غير آمنة، مما يؤدي إلى تصنيف خاطئ للحمولات الخبيثة. عندما يستخدم المهاجم دالة cProfile.run() في ملف pickle خبيث، تصنفه الأداة كمشبوه فقط بدلاً من خبيث…
CVE-2026-22608
ثغرة تنفيذ أوامر بعيدة في محلل Fickling للملفات المضغوطة عبر وحدات ctypes و pydoc غير المحظورة
04:01 KSA
عالٍ CVSS 7.8 CWE-184
تمثل هذه الثغرة خللاً أمنياً في آلية الفحص الثابت لأداة Fickling حيث لا يتم حظر وحدات ctypes و pydoc.locate بشكل صريح. يستغل المهاجمون هذا القصور من خلال ربط هاتين الوحدتين معاً لتحقيق تنفيذ أكواد عن بعد (RCE) بينما تقوم أداة الفحص بالإبلاغ عن الملف على أنه آمن محتمل (LIKELY_SAFE…
CVE-2026-22609
تجاوز كشف الواردات غير الآمنة في محلل Fickling الثابت
04:01 KSA
عالٍ CVSS 7.8 CWE-184
تمثل هذه الثغرة خللاً أمنياً خطيراً في أداة Fickling المستخدمة لتحليل وفحص ملفات Python pickle. تكمن المشكلة في فشل دالة unsafe_imports() في تحديد وحدات Python الخطرة التي يمكن استخدامها لتنفيذ تعليمات برمجية عشوائية على النظام المستهدف. يستطيع المهاجمون صياغة ملفات pickle خبيثة …
CVE-2026-22612
绕过Fickling检测漏洞 - Builtins盲点 (CVE-2026-22612)
04:01 KSA
عالٍ CVSS 7.8 CWE-502
تؤثر هذه الثغرة الأمنية على أداة Fickling المستخدمة لتحليل وفحص ملفات pickle في بايثون. تسمح الثغرة للمهاجمين بتجاوز آليات الكشف الأمني من خلال استغلال نقطة عمياء في معالجة الوظائف المدمجة (builtins). يمكن استغلال هذه الثغرة لإخفاء تعليمات برمجية ضارة داخل ملفات pickle المسلسلة، …
CVE-2026-34003
ثغرة الوصول إلى الذاكرة خارج الحدود في خادم X.Org X
09:36 KSA
عالٍ CVSS 7.8 CWE-125
ثغرة في التحقق من صحة طلبات أنواع مفاتيح XKB في خادم X.Org X تسمح للمهاجمين المحليين بالوصول إلى الذاكرة خارج الحدود المخصصة. يمكن أن يؤدي هذا إلى الكشف عن معلومات حساسة أو تعطل الخادم مما يسبب رفض الخدمة.
CVE-2026-34588
تجاوز عدد صحيح في OpenEXR في فك تشفير الموجات (CVE-2026-34588)
14:16 KSA
عالٍ CVSS 7.8 CWE-125
تحتوي الدالة internal_exr_undo_piz() على ثغرة تجاوز عدد صحيح موقّع حيث يتم التعامل مع متغيرات nx و ny و wcount كأعداد صحيحة موقّعة. يمكن لملف EXR مصنوع بسوء أن يسبب تجاوز الذاكرة مما يؤدي إلى قراءة وكتابة خارج حدود الذاكرة المخصصة. هذا يمكن أن يؤدي إلى تعطل التطبيق أو تنفيذ كود ع…
CVE-2026-34618
ثغرة كتابة خارج الحدود في Adobe Illustrator تسمح بتنفيذ أكواد عشوائية
05:48 KSA
عالٍ CVSS 7.8 CWE-787
تؤثر هذه الثغرة على عيب في معالجة الذاكرة في Adobe Illustrator حيث يمكن للمهاجمين كتابة البيانات خارج حدود المخزن المؤقت المخصص. يمكن استغلال هذا الضعف من خلال إرسال ملف Illustrator مصنوع بعناية يؤدي إلى تنفيذ أكواد عشوائية بامتيازات المستخدم الحالي.
CVE-2026-34627
ثغرة تجاوز المخزن المؤقت في Adobe InDesign تسمح بتنفيذ كود بعيد
17:32 KSA
عالٍ CVSS 7.8 CWE-122
تؤثر هذه الثغرة على تطبيق Adobe InDesign Desktop وتسمح بتنفيذ كود عشوائي من خلال ملفات مصممة بشكل خاص. يتطلب الاستغلال من المهاجم إرسال ملف ضار والانتظار حتى يقوم المستخدم بفتحه.
CVE-2026-34628
ثغرة تجاوز المخزن المؤقت على الكومة في Adobe InDesign
23:36 KSA
عالٍ CVSS 7.8 CWE-122
تؤثر هذه الثغرة على تطبيق Adobe InDesign Desktop وتسمح بتنفيذ أكواد عشوائية في سياق المستخدم الحالي. يتطلب استغلال هذه الثغرة تفاعل المستخدم بفتح ملف ضار مصمم خصيصاً.
CVE-2026-34629
ثغرة تجاوز الذاكرة العشوائية في Adobe InDesign تسمح بتنفيذ أكواد عشوائية
23:36 KSA
عالٍ CVSS 7.8 CWE-122
تؤثر هذه الثغرة على تطبيق Adobe InDesign Desktop وتسمح بتنفيذ أكواد عشوائية في سياق المستخدم الحالي. يتطلب استغلال الثغرة تفاعل المستخدم مثل فتح ملف InDesign ضار. المنظمات التي تستخدم InDesign للتصميم والنشر معرضة لخطر كبير.
CVE-2026-34630
تجاوز المخزن المؤقت على الكومة في إصدارات Bridge 16.0.2 والإصدارات الأقدم
05:48 KSA
عالٍ CVSS 7.8 CWE-122
تؤثر هذه الثغرة على تطبيق Bridge في الإصدارات 16.0.2 و 15.1.4 وما قبلها. يمكن للمهاجمين استغلال تجاوز المخزن المؤقت على الكومة لتنفيذ كود عشوائي بصلاحيات المستخدم الحالي. يتطلب الاستغلال من المستخدم فتح ملف ضار بشكل متعمد.
CVE-2026-34631
ثغرة الكتابة خارج الحدود في InCopy تسمح بتنفيذ أكواد عشوائية
05:48 KSA
عالٍ CVSS 7.8 CWE-787
تؤثر هذه الثغرة على تطبيق InCopy من Adobe والذي يستخدم على نطاق واسع في المؤسسات السعودية للعمل على المستندات والنصوص. يمكن للمهاجمين استغلال هذه الثغرة بإرسال ملفات ضارة للمستخدمين، مما يؤدي إلى تنفيذ أكواد بصلاحيات المستخدم الحالي.
CVE-2026-35021
ثغرة حقن أوامر نظام التشغيل في أداة محرر الموجهات في Anthropic Claude
17:55 KSA
عالٍ CVSS 7.8 CWE-78
تحتوي أداة استدعاء محرر الموجهات في Anthropic Claude على ثغرة حقن أوامر تسمح بتنفيذ أوامر تعسفية. يمكن للمهاجمين استخدام أحرف metacharacters مثل $() والتعبيرات backtick في مسارات الملفات لتجاوز الحماية. الثغرة تؤثر على أي مستخدم يقوم بتشغيل CLI مع ملفات غير موثوقة.
CVE-2026-22035
حقن أوامر نظام التشغيل في Greenshot عبر معالجة أسماء الملفات غير المعقمة
04:01 KSA
عالٍ CVSS 7.7 CWE-78
تؤثر هذه الثغرة الأمنية على أداة Greenshot لالتقاط لقطات الشاشة حيث تستخدم دالة FormatArguments في ExternalCommandDestination.cs الأسلوب string.Format() لإدراج أسماء الملفات التي يتحكم فيها المستخدم مباشرة في أوامر الصدفة دون تعقيم أو تحقق. يستغل المهاجمون هذا الضعف بإنشاء أسماء …
CVE-2025-36589
ثغرة XXE في Dell Unisphere for PowerMax الإصدار 9.2.4.x
04:01 KSA
عالٍ CVSS 7.6 CWE-611
تسمح ثغرة الكيانات الخارجية XML في Dell Unisphere for PowerMax للمهاجمين بحقن كيانات XML خارجية ضارة في طلبات XML المعالجة من قبل النظام. يمكن استغلال هذه الثغرة لقراءة الملفات الحساسة من الخادم، أو تنفيذ هجمات رفض الخدمة، أو الوصول إلى موارد الشبكة الداخلية. تؤثر الثغرة على أنظم…
CVE-2025-10990
A flaw was found in REXML. A remote attacker could exploit inefficient regular expression (regex) parsing when processin
04:30 KSA
عالٍ CVSS 7.5 CWE-1333
A flaw was found in REXML. A remote attacker could exploit inefficient regular expression (regex) parsing when processing hex numeric character references (&#x...;) in XML documents. This could lead to a Regular Expression Denial of Service (ReDoS), impacting the availability of …
CVE-2025-12166
The Appointment Booking Calendar — Simply Schedule Appointments Booking Plugin plugin for WordPress is vulnerable to bli
04:01 KSA
عالٍ CVSS 7.5 CWE-89
The Appointment Booking Calendar — Simply Schedule Appointments Booking Plugin plugin for WordPress is vulnerable to blind SQL Injection via the `order` and `append_where_sql` parameters in all versions up to, and including, 1.6.9.9 due to insufficient escaping on the user suppli…
CVE-2025-14478
The Demo Importer Plus plugin for WordPress is vulnerable to XML External Entity Injection (XXE) in all versions up to,
04:01 KSA
عالٍ CVSS 7.5 CWE-611
The Demo Importer Plus plugin for WordPress is vulnerable to XML External Entity Injection (XXE) in all versions up to, and including, 2.0.9 via the SVG file upload functionality. This makes it possible for authenticated attackers, with Author-level access and above, to achieve c…
CVE-2025-14770
The Shipping Rate By Cities plugin for WordPress is vulnerable to SQL Injection via the 'city' parameter in all versions
04:01 KSA
عالٍ CVSS 7.5 CWE-89
The Shipping Rate By Cities plugin for WordPress is vulnerable to SQL Injection via the 'city' parameter in all versions up to, and including, 2.0.0 due to insufficient escaping on the user supplied parameter and lack of sufficient preparation on the existing SQL query. This make…
CVE-2025-15268
The Infility Global plugin for WordPress is vulnerable to unauthenticated SQL Injection via the 'infility_get_data' API
04:01 KSA
عالٍ CVSS 7.5 CWE-89
The Infility Global plugin for WordPress is vulnerable to unauthenticated SQL Injection via the 'infility_get_data' API action in all versions up to, and including, 2.14.46. This is due to insufficient escaping on the user supplied parameter and lack of sufficient preparation on …
CVE-2025-15285
The SEO Flow by LupsOnline plugin for WordPress is vulnerable to unauthorized modification of data due to a missing capa
04:01 KSA
عالٍ CVSS 7.5 CWE-862
The SEO Flow by LupsOnline plugin for WordPress is vulnerable to unauthorized modification of data due to a missing capability check on the checkBlogAuthentication() and checkCategoryAuthentication() functions in all versions up to, and including, 2.2.1. These authorization funct…
CVE-2025-15514
Ollama 0.11.5-rc0 through current version 0.13.5 contain a null pointer dereference vulnerability in the multi-modal mod
04:01 KSA
عالٍ CVSS 7.5 CWE-395
Ollama 0.11.5-rc0 through current version 0.13.5 contain a null pointer dereference vulnerability in the multi-modal model image processing functionality. When processing base64-encoded image data via the /api/chat endpoint, the application fails to validate that the decoded data…
CVE-2025-15556
Notepad++ versions prior to 8.8.9, when using the WinGUp updater, contain an update integrity verification vulnerability
04:01 KSA
عالٍ CVSS 7.5 ⚠ CISA KEV CWE-494
Notepad++ versions prior to 8.8.9, when using the WinGUp updater, contain an update integrity verification vulnerability where downloaded update metadata and installers are not cryptographically verified. An attacker able to intercept or redirect update traffic can cause the upda…
CVE-2025-40944
A vulnerability has been identified in SIMATIC ET 200AL IM 157-1 PN (6ES7157-1AB00-0AB0) (All versions), SIMATIC ET 200M
04:01 KSA
عالٍ CVSS 7.5 CWE-400
A vulnerability has been identified in SIMATIC ET 200AL IM 157-1 PN (6ES7157-1AB00-0AB0) (All versions), SIMATIC ET 200MP IM 155-5 PN HF (6ES7155-5AA00-0AC0) (All versions >= V4.2.0), SIMATIC ET 200SP IM 155-6 MF HF (6ES7155-6MU00-0CN0) (All versions), SIMATIC ET 200SP IM 155-6 P…
CVE-2025-46685
Dell SupportAssist OS Recovery, versions prior to 5.5.15.1, contain a Creation of Temporary File With Insecure Permissio
04:01 KSA
عالٍ CVSS 7.5 CWE-378
Dell SupportAssist OS Recovery, versions prior to 5.5.15.1, contain a Creation of Temporary File With Insecure Permissions vulnerability. A low privileged attacker with local access could potentially exploit this vulnerability, leading to Elevation of privileges.
CVE-2025-50650
A buffer overflow vulnerability exists in D-Link DI-8003 16.07.26A1 due to inadequate validation of input size in the ro
00:18 KSA
عالٍ CVSS 7.5 CWE-120
A buffer overflow vulnerability exists in D-Link DI-8003 16.07.26A1 due to inadequate validation of input size in the routes_static parameter in the /router.asp endpoint.
CVE-2025-50652
An issue in D-Link DI-8003 16.07.26A1 related to improper handling of the id parameter in the /saveparm_usb.asp endpoint
00:18 KSA
عالٍ CVSS 7.5 CWE-120
An issue in D-Link DI-8003 16.07.26A1 related to improper handling of the id parameter in the /saveparm_usb.asp endpoint.
CVE-2025-50653
A buffer overflow vulnerability exists in D-Link DI-8003 16.07.26A1 due to improper handling of the name and mem paramet
00:18 KSA
عالٍ CVSS 7.5 CWE-120
A buffer overflow vulnerability exists in D-Link DI-8003 16.07.26A1 due to improper handling of the name and mem parameters in the /time_group.asp endpoint.
CVE-2025-50654
A buffer overflow vulnerability exists in D-Link DI-8003 16.07.26A1 due to improper validation of the id parameter in th
00:18 KSA
عالٍ CVSS 7.5 CWE-120
A buffer overflow vulnerability exists in D-Link DI-8003 16.07.26A1 due to improper validation of the id parameter in the /thd_member.asp endpoint.
CVE-2025-52222
D-Link DI-8003 v16.07.26A1, DI-8500 v16.07.26A1; DI-8003G v17.12.21A1, DI-8200G v17.12.20A1, DI-8200 v16.07.26A1, DI-840
22:16 KSA
عالٍ CVSS 7.5 CWE-120
D-Link DI-8003 v16.07.26A1, DI-8500 v16.07.26A1; DI-8003G v17.12.21A1, DI-8200G v17.12.20A1, DI-8200 v16.07.26A1, DI-8400 v16.07.26A1, DI-8004w v16.07.26A1, DI-8100 v16.07.26A1, and DI-8100G v17.12.20A1 were discovered to contain a buffer overflow via the rd_en, rd_auth, rd_acct,…
CVE-2025-57713
A weak authentication vulnerability has been reported to affect File Station 5. The remote attackers can then exploit th
04:01 KSA
عالٍ CVSS 7.5 CWE-1390
A weak authentication vulnerability has been reported to affect File Station 5. The remote attackers can then exploit the vulnerability to gain sensitive information. We have already fixed the vulnerability in the following version: File Station 5 5.5.6.5166 and later
CVE-2025-58741
Insufficiently Protected Credentials vulnerability in the Credential Field of Milner ImageDirector Capture allows retrie
04:01 KSA
عالٍ CVSS 7.5 CWE-522
Insufficiently Protected Credentials vulnerability in the Credential Field of Milner ImageDirector Capture allows retrieval of credential material and enables database access.This issue affects ImageDirector Capture: from 7.0.9 through 7.6.3.25808.
CVE-2025-58743
Use of a Broken or Risky Cryptographic Algorithm (DES) vulnerability in the Password class in C2SConnections.dll in Mi
04:01 KSA
عالٍ CVSS 7.5 CWE-327
Use of a Broken or Risky Cryptographic Algorithm (DES) vulnerability in the Password class in C2SConnections.dll in Milner ImageDirector Capture on Windows allows Encryption Brute Forcing to obtain database credentials.This issue affects ImageDirector Capture: from 7.0.9.0 befo…
CVE-2025-58744
Use of Default Credentials, Hard-coded Credentials vulnerability in C2SGlobalSettings.dll in Milner ImageDirector Cap
04:01 KSA
عالٍ CVSS 7.5 CWE-798
Use of Default Credentials, Hard-coded Credentials vulnerability in C2SGlobalSettings.dll in Milner ImageDirector Capture on Windows allows decryption of document archive files using credentials decrypted with hard-coded application encryption key. This issue affects ImageDir…
CVE-2025-59384
ثغرة اجتياز المسار في QNAP Qfiling تسمح بالوصول غير المصرح للملفات (CVE-2025-59384)
04:01 KSA
عالٍ CVSS 7.5 CWE-22
A path traversal vulnerability has been reported to affect Qfiling. The remote attackers can then exploit the vulnerability to read the contents of unexpected files or system data. We have already fixed the vulnerability in the following version: Qfiling 3.13.1 and later
CVE-2025-59464
A memory leak in Node.js’s OpenSSL integration occurs when converting `X.509` certificate fields to UTF-8 without freein
04:01 KSA
عالٍ CVSS 7.5 CWE-400
A memory leak in Node.js’s OpenSSL integration occurs when converting `X.509` certificate fields to UTF-8 without freeing the allocated buffer. When applications call `socket.getPeerCertificate(true)`, each certificate field leaks memory, allowing remote clients to trigger steady…
CVE-2025-59466
We have identified a bug in Node.js error handling where "Maximum call stack size exceeded" errors become uncatchable wh
04:01 KSA
عالٍ CVSS 7.5 CWE-248
We have identified a bug in Node.js error handling where "Maximum call stack size exceeded" errors become uncatchable when `async_hooks.createHook()` is enabled. Instead of reaching `process.on('uncaughtException')`, the process terminates, making the crash unrecoverable. Applica…
CVE-2025-59895
Sync Breeze Enterprise Server v10.4.18 and Disk Pulse Enterprise v10.4.18 contain a remote denial-of-service (DoS) vulne
04:01 KSA
عالٍ CVSS 7.5 CWE-20
Sync Breeze Enterprise Server v10.4.18 and Disk Pulse Enterprise v10.4.18 contain a remote denial-of-service (DoS) vulnerability in the configuration restore functionality. The issue is due to insufficient validation of user-supplied data during this process. An attacker could se…
CVE-2025-60003
A Buffer Over-read vulnerability in the routing protocol daemon (rpd) of Juniper Networks Junos OS and Junos OS Evolved
04:01 KSA
عالٍ CVSS 7.5 CWE-126
A Buffer Over-read vulnerability in the routing protocol daemon (rpd) of Juniper Networks Junos OS and Junos OS Evolved allows an unauthenticated, network-based attacker to cause a Denial-of-Service (DoS). When an affected device receives a BGP update with a set of specific opti…
CVE-2025-62599
Fast DDS is a C++ implementation of the DDS (Data Distribution Service) standard of the OMG (Object Management Group ).
04:01 KSA
عالٍ CVSS 7.5 CWE-125
Fast DDS is a C++ implementation of the DDS (Data Distribution Service) standard of the OMG (Object Management Group ). Prior to versions 3.4.1, 3.3.1, and 2.6.11, when the security mode is enabled, modifying the DATA Submessage within an SPDP packet sent by a publisher causes a…
CVE-2025-62600
Fast DDS is a C++ implementation of the DDS (Data Distribution Service) standard of the OMG (Object Management Group ).
04:01 KSA
عالٍ CVSS 7.5 CWE-125
Fast DDS is a C++ implementation of the DDS (Data Distribution Service) standard of the OMG (Object Management Group ). Prior to versions 3.4.1, 3.3.1, and 2.6.11, when the security mode is enabled, modifying the DATA Submessage within an SPDP packet sent by a publisher causes a…
CVE-2025-62601
Fast DDS is a C++ implementation of the DDS (Data Distribution Service) standard of the OMG (Object Management Group ).
04:01 KSA
عالٍ CVSS 7.5 CWE-122
Fast DDS is a C++ implementation of the DDS (Data Distribution Service) standard of the OMG (Object Management Group ). Prior to versions 3.4.1, 3.3.1, and 2.6.11, when the security mode is enabled, modifying the DATA Submessage within an SPDP packet sent by a publisher causes a…
CVE-2025-62602
Fast DDS is a C++ implementation of the DDS (Data Distribution Service) standard of the OMG (Object Management Group ).
04:01 KSA
عالٍ CVSS 7.5 CWE-122
Fast DDS is a C++ implementation of the DDS (Data Distribution Service) standard of the OMG (Object Management Group ). Prior to versions 3.4.1, 3.3.1, and 2.6.11, when the security mode is enabled, modifying the DATA Submessage within an SPDP packet sent by a publisher causes a…
CVE-2025-62603
Fast DDS is a C++ implementation of the DDS (Data Distribution Service) standard of the OMG (Object Management Group ).
04:01 KSA
عالٍ CVSS 7.5 CWE-125
Fast DDS is a C++ implementation of the DDS (Data Distribution Service) standard of the OMG (Object Management Group ). ParticipantGenericMessage is the DDS Security control-message container that carries not only the handshake but also on going security-control traffic after the…
CVE-2025-64438
Fast DDS is a C++ implementation of the DDS (Data Distribution Service) standard of the OMG (Object Management Group ).
04:01 KSA
عالٍ CVSS 7.5 CWE-835
Fast DDS is a C++ implementation of the DDS (Data Distribution Service) standard of the OMG (Object Management Group ). Prior to versions 3.4.1, 3.3.1, and 2.6.11, a remotely triggerable Out-of-Memory (OOM) denial-of-service exists in Fast -DDS when processing RTPS GAP submessage…
CVE-2025-68616
WeasyPrint helps web developers to create PDF documents. Prior to version 68.0, a server-side request forgery (SSRF) pro
04:01 KSA
عالٍ CVSS 7.5 CWE-601
WeasyPrint helps web developers to create PDF documents. Prior to version 68.0, a server-side request forgery (SSRF) protection bypass exists in WeasyPrint's `default_url_fetcher`. The vulnerability allows attackers to access internal network resources (such as `localhost` servic…
CVE-2025-68698
Jervis is a library for Job DSL plugin scripts and shared Jenkins pipeline libraries. Prior to 2.2, Jervis uses PKCS1Enc
04:01 KSA
عالٍ CVSS 7.5 CWE-327
Jervis is a library for Job DSL plugin scripts and shared Jenkins pipeline libraries. Prior to 2.2, Jervis uses PKCS1Encoding which is vulnerable to Bleichenbacher padding oracle attacks. Modern systems should use OAEP (Optimal Asymmetric Encryption Padding). This vulnerability i…
CVE-2025-68701
Jervis is a library for Job DSL plugin scripts and shared Jenkins pipeline libraries. Prior to 2.2, Jervis uses determin
04:01 KSA
عالٍ CVSS 7.5 CWE-327
Jervis is a library for Job DSL plugin scripts and shared Jenkins pipeline libraries. Prior to 2.2, Jervis uses deterministic AES IV derivation from a passphrase. This vulnerability is fixed in 2.2.
CVE-2025-68702
Jervis is a library for Job DSL plugin scripts and shared Jenkins pipeline libraries. Prior to 2.2, Jervis uses padLeft(
04:01 KSA
عالٍ CVSS 7.5 CWE-327
Jervis is a library for Job DSL plugin scripts and shared Jenkins pipeline libraries. Prior to 2.2, Jervis uses padLeft(32, '0') when it should use padLeft(64, '0') because SHA-256 produces 32 bytes which equates to 64 hex characters. This vulnerability is fixed in 2.2.
CVE-2025-68703
Jervis is a library for Job DSL plugin scripts and shared Jenkins pipeline libraries. Prior to 2.2, the salt is derived
04:01 KSA
عالٍ CVSS 7.5 CWE-326
Jervis is a library for Job DSL plugin scripts and shared Jenkins pipeline libraries. Prior to 2.2, the salt is derived from sha256Sum(passphrase). Two encryption operations with the same password will have the same derived key. This vulnerability is fixed in 2.2.
CVE-2025-68704
Jervis is a library for Job DSL plugin scripts and shared Jenkins pipeline libraries. Prior to 2.2, Jervis uses java.uti
04:01 KSA
عالٍ CVSS 7.5 CWE-330
Jervis is a library for Job DSL plugin scripts and shared Jenkins pipeline libraries. Prior to 2.2, Jervis uses java.util.Random() which is not cryptographically secure for timing attack mitigation. This vulnerability is fixed in 2.2.
CVE-2025-68931
Jervis is a library for Job DSL plugin scripts and shared Jenkins pipeline libraries. Prior to 2.2, AES/CBC/PKCS5Padding
04:01 KSA
عالٍ CVSS 7.5 CWE-287
Jervis is a library for Job DSL plugin scripts and shared Jenkins pipeline libraries. Prior to 2.2, AES/CBC/PKCS5Padding lacks authentication, making it vulnerable to padding oracle attacks and ciphertext manipulation. This vulnerability is fixed in 2.2.
CVE-2025-69273
ثغرة تجاوز المصادقة في Broadcom DX NetOps Spectrum
04:01 KSA
عالٍ CVSS 7.5 CWE-287
تؤثر هذه الثغرة الأمنية على منصة Broadcom DX NetOps Spectrum المستخدمة لإدارة ومراقبة الشبكات في بيئات Windows وLinux. يسمح الخلل في آلية المصادقة للمهاجمين بتجاوز عمليات التحقق الأمنية والوصول إلى النظام دون تقديم بيانات اعتماد صحيحة. يمكن استغلال هذه الثغرة للحصول على وصول غير …
CVE-2025-69421
Issue summary: Processing a malformed PKCS#12 file can trigger a NULL pointer dereference in the PKCS12_item_decrypt_d2i
04:01 KSA
عالٍ CVSS 7.5 CWE-476
Issue summary: Processing a malformed PKCS#12 file can trigger a NULL pointer dereference in the PKCS12_item_decrypt_d2i_ex() function. Impact summary: A NULL pointer dereference can trigger a crash which leads to Denial of Service for an application processing PKCS#12 files. T…
CVE-2025-70753
Tenda AX-1806 v1.0.0.1 was discovered to contain a stack overflow in the security_5g parameter of the sub_4CA50 function
04:01 KSA
عالٍ CVSS 7.5 CWE-787
Tenda AX-1806 v1.0.0.1 was discovered to contain a stack overflow in the security_5g parameter of the sub_4CA50 function. This vulnerability allows attackers to cause a Denial of Service (DoS) via a crafted request.
CVE-2025-71024
Tenda AX-3 v16.03.12.10_CN was discovered to contain a stack overflow in the serviceName2 parameter of the fromAdvSetMac
04:01 KSA
عالٍ CVSS 7.5 CWE-787
Tenda AX-3 v16.03.12.10_CN was discovered to contain a stack overflow in the serviceName2 parameter of the fromAdvSetMacMtuWan function. This vulnerability allows attackers to cause a Denial of Service (DoS) via a crafted request.
CVE-2025-71025
تجاوز المكدس في جهاز Tenda AX-3 في دالة fromAdvSetMacMtuWan
04:01 KSA
عالٍ CVSS 7.5 CWE-787
ثغرة تجاوز المكدس في جهاز التوجيه Tenda AX-3 تؤثر على دالة fromAdvSetMacMtuWan وتسمح بإرسال طلبات مصنوعة بعناية عبر معامل cloneType2. يمكن للمهاجمين استغلال هذه الثغرة لإيقاف خدمة الجهاز وجعله غير متاح للمستخدمين الشرعيين.
CVE-2025-71026
Tenda AX-3 v16.03.12.10_CN was discovered to contain a stack overflow in the wanSpeed2 parameter of the fromAdvSetMacMtu
04:01 KSA
عالٍ CVSS 7.5 CWE-787
Tenda AX-3 v16.03.12.10_CN was discovered to contain a stack overflow in the wanSpeed2 parameter of the fromAdvSetMacMtuWan function. This vulnerability allows attackers to cause a Denial of Service (DoS) via a crafted request.
CVE-2025-71027
Tenda AX-3 v16.03.12.10_CN was discovered to contain a stack overflow in the wanMTU2 parameter of the fromAdvSetMacMtuWa
04:01 KSA
عالٍ CVSS 7.5 CWE-787
Tenda AX-3 v16.03.12.10_CN was discovered to contain a stack overflow in the wanMTU2 parameter of the fromAdvSetMacMtuWan function. This vulnerability allows attackers to cause a Denial of Service (DoS) via a crafted request.
CVE-2025-71282
XenForo before 2.3.7 discloses filesystem paths through exception messages triggered by open_basedir restrictions. This
17:48 KSA
عالٍ CVSS 7.5 CWE-209
XenForo before 2.3.7 discloses filesystem paths through exception messages triggered by open_basedir restrictions. This allows an attacker to obtain information about the server's directory structure.
CVE-2025-7713
Improper Neutralization of Input During Web Page Generation (XSS or 'Cross-site Scripting') vulnerability in Global Inte
04:01 KSA
عالٍ CVSS 7.5 CWE-79
Improper Neutralization of Input During Web Page Generation (XSS or 'Cross-site Scripting') vulnerability in Global Interactive Design Media Software Inc. Content Management System (CMS) allows XSS Through HTTP Headers.This issue affects Content Management System (CMS): through 2…
CVE-2025-7714
Improper Neutralization of Special Elements used in an SQL Command ('SQL Injection') vulnerability in Global Interactive
04:01 KSA
عالٍ CVSS 7.5 CWE-89
Improper Neutralization of Special Elements used in an SQL Command ('SQL Injection') vulnerability in Global Interactive Design Media Software Inc. Content Management System (CMS) allows Command Line Execution through SQL Injection.This issue affects Content Management System (CM…
CVE-2025-8590
Exposure of Sensitive Information to an Unauthorized Actor vulnerability in AKCE Software Technology R&D Industry and Tr
04:01 KSA
عالٍ CVSS 7.5 CWE-200
Exposure of Sensitive Information to an Unauthorized Actor vulnerability in AKCE Software Technology R&D Industry and Trade Inc. SKSPro allows Directory Indexing.This issue affects SKSPro: through 07012026.
CVE-2025-9014
A Null Pointer Dereference vulnerability exists in the referer header check of the web portal of TP-Link TL-WR841N v14,
04:01 KSA
عالٍ CVSS 7.5 CWE-20
A Null Pointer Dereference vulnerability exists in the referer header check of the web portal of TP-Link TL-WR841N v14, caused by improper input validation.  A remote, unauthenticated attacker can exploit this flaw and cause Denial of Service on the web portal service.This issue …
CVE-2025-9110
ثغرة كشف معلومات النظام الحساسة في أنظمة تشغيل QNAP QTS وQuTS hero
04:01 KSA
عالٍ CVSS 7.5 CWE-497
An exposure of sensitive system information to an unauthorized control sphere vulnerability has been reported to affect several QNAP operating system versions. The remote attackers can then exploit the vulnerability to read application data. We have already fixed the vulnerabili…
CVE-2025-9278
A security issue exists within ArmorStart® LT that can result in a denial-of-service condition. After running a Burp Sui
04:01 KSA
عالٍ CVSS 7.5 CWE-400
A security issue exists within ArmorStart® LT that can result in a denial-of-service condition. After running a Burp Suite active scan, the device loses ICMP connectivity, causing the web application to become inaccessible.
CVE-2025-9279
A security issue exists within ArmorStart® LT that can result in a denial-of-service condition. During execution of the
04:01 KSA
عالٍ CVSS 7.5 CWE-400
A security issue exists within ArmorStart® LT that can result in a denial-of-service condition. During execution of the Achilles EtherNet/IP Step Limit Storm tests, the device reboots unexpectedly, causing the Link State Monitor to go down for several seconds.
CVE-2026-0485
ثغرة حجب الخدمة بدون مصادقة في منصة SAP BusinessObjects BI
04:01 KSA
عالٍ CVSS 7.5 CWE-405
ثغرة في منصة SAP BusinessObjects BI Platform تسمح لمهاجم غير مصرح بإرسال طلبات مصممة خصيصاً لإيقاف خادم إدارة المحتوى. يمكن للمهاجم من خلال إعادة تقديم هذه الطلبات بشكل متكرر إحداث انقطاع خدمة مستمر يجعل نظام إدارة المحتوى غير متاح تماماً. التأثير الرئيسي هو على توفر الخدمة بينما…
CVE-2026-0517
ثغرة حجب الخدمة في خادم الوصول الآمن (CVE-2026-0517)
04:01 KSA
عالٍ CVSS 7.5 CWE-400
تؤثر هذه الثغرة على خوادم الوصول الآمن في الإصدارات السابقة للإصدار 14.20 وتسمح بهجمات حجب الخدمة من خلال إرسال حزم مصممة خصيصاً. يمكن للمهاجمين استغلال هذه الثغرة لإسقاط الخادم وتعطيل الوصول للمستخدمين المشروعين.
CVE-2026-1477
ثغرة حقن SQL خارج النطاق في تطبيق تقييم الأداء EDD
04:01 KSA
عالٍ CVSS 7.5 CWE-89
تم اكتشاف ثغرة حقن SQL خارج النطاق في تطبيق تقييم الأداء (EDD) الذي طورته وحدة البرمجة التقنية، حيث تؤثر على معاملات معرّف المستخدم ومعرّف التقييم في صفحة ASP.NET القديمة. يمكن للمهاجمين استغلال هذه الثغرة لاستخراج معلومات حساسة من قاعدة البيانات من خلال قنوات خارجية دون أن يعيد …
CVE-2026-1478
ثغرة حقن SQL خارج النطاق في تطبيق تقييم الأداء
04:01 KSA
عالٍ CVSS 7.5 CWE-89
ثغرة حقن SQL خارج النطاق (OOB SQLi) تم اكتشافها في تطبيق تقييم الأداء (EDD) الذي طورته Gabinete Técnico de Programación. يمكن للمهاجمين استغلال هذه الثغرة من خلال معاملات 'Id_usuario' و'Id_evaluacion' في صفحة '/evaluacion_hca_evalua.aspx' لاستخراج معلومات حساسة من قاعدة البيانات …
CVE-2026-1480
ثغرة حقن SQL خارج النطاق في تطبيق تقييم الأداء EDD
04:01 KSA
عالٍ CVSS 7.5 CWE-89
ثغرة حقن SQL خارج النطاق (OOB SQLi) تم اكتشافها في تطبيق تقييم الأداء (EDD) الذي طورته Gabinete Técnico de Programación. يمكن للمهاجمين استغلال هذه الثغرة في معامل 'Id_usuario' في صفحة '/evaluacion_objetivos_anyo_sig_evalua.aspx' لاستخراج معلومات حساسة من قاعدة البيانات عبر قنوات…
CVE-2026-34388
حرمان الخدمة في Fleet gRPC Launcher عبر نوع سجل غير متوقع
21:26 KSA
عالٍ CVSS 7.5 CWE-703
تؤثر هذه الثغرة على خادم Fleet الذي يعالج طلبات gRPC من المضيفين المصرح لهم. يمكن لمهاجم مصرح له إرسال قيمة نوع سجل غير صحيحة مما يؤدي إلى توقف فوري للعملية الرئيسية. يؤثر التوقف على جميع الأجهزة المدارة وخدمات MDM والعملاء المتصلين.
CVE-2026-34391
ثغرة تجاوز التحكم في الوصول لأوامر Windows MDM في Fleet
21:26 KSA
عالٍ CVSS 7.5 CWE-488
تسمح الثغرة للأجهزة المسجلة الخبيثة بتجاوز ضوابط التحكم في الوصول والوصول إلى أوامر MDM المخصصة لأجهزة أخرى في البيئة. يمكن للمهاجمين استخراج بيانات حساسة مثل بيانات اعتماد WiFi وأسرار VPN وحمولات الشهادات من الأجهزة الأخرى. تؤثر هذه الثغرة على جميع أجهزة Windows المدارة عبر Flee…
CVE-2026-34543
كشف معلومات ذاكرة الكومة في OpenEXR عبر ملفات EXR الضارة
04:00 KSA
عالٍ CVSS 7.5 CWE-908
تؤثر هذه الثغرة على OpenEXR من الإصدار 3.4.0 إلى 3.4.7 وتسمح بتسرب المعلومات الحساسة من ذاكرة الكومة. يمكن استغلال الثغرة بمجرد قراءة ملف EXR ضار دون الحاجة إلى أي تفاعل من المستخدم.
CVE-2026-34573
هجوم حجب الخدمة في Parse Server عبر استعلامات GraphQL المعقدة
17:48 KSA
عالٍ CVSS 7.5 CWE-407
يؤثر هذا الثغر على خوادم Parse المفتوحة المصدر التي تم نشرها على البنية التحتية التي تدعم Node.js، خاصة عندما يتم تفعيل خيارات التحقق من تعقيد GraphQL. يمكن لمهاجم غير مصرح به استغلال هذه الثغرة لإرسال استعلامات معقدة تسبب شلل الخادم بأكمله.
CVE-2026-34752
ثغرة حجب الخدمة في خادم Haraka عبر رأس __proto__
03:23 KSA
عالٍ CVSS 7.5 CWE-248
ثغرة حجب الخدمة في خادم البريد Haraka تحدث عندما يتم إرسال رسالة بريد إلكترونية تحتوي على اسم رأس __proto__، مما يؤدي إلى توقف عملية العامل. هذه الثغرة تؤثر على جميع الإصدارات السابقة للإصدار 3.1.4 وتم إصلاحها في الإصدار 3.1.4 وما بعده.
CVE-2026-34784
تجاوز التفويض في تنزيلات الملفات عبر طلبات HTTP Range في Parse Server
17:48 KSA
عالٍ CVSS 7.5 CWE-285
تسمح هذه الثغرة للمهاجمين بتجاوز آليات التفويض في Parse Server من خلال استخدام طلبات HTTP Range عند تنزيل الملفات. يؤثر هذا بشكل خاص على محولات التخزين التي تدعم البث مثل GridFS الافتراضي، مما يسمح بالوصول إلى الملفات التي يجب أن تكون محمية بواسطة منطق التفويض في afterFind.
CVE-2026-3489
ثغرة حقن SQL في إضافة DirectoryPress لـ WordPress عبر معامل الحزم
02:16 KSA
عالٍ CVSS 7.5 CWE-89
تحتوي إضافة DirectoryPress للإصدارات حتى 3.6.26 على ثغرة حقن SQL في معامل 'packages' تسمح للمهاجمين غير المصرح لهم باستخراج معلومات حساسة من قاعدة البيانات. تنتج الثغرة عن عدم كفاية تنظيف المدخلات وعدم الاستعداد الكافي لاستعلامات SQL.
CVE-2026-3509
ثغرة رفض الخدمة في سلسلة تنسيق سجل التدقيق CODESYS Control
11:22 KSA
عالٍ CVSS 7.5 CWE-134
ثغرة تنسيق السلسلة في سجل التدقيق لنظام CODESYS Control تسمح للمهاجمين البعيدين غير المصرحين بالتحكم في معاملات التنسيق. يمكن استغلال هذه الثغرة لإحداث حالات رفض الخدمة تؤثر على توفر الأنظمة الصناعية الحرجة.
CVE-2026-35092
ثغرة تجاوز عدد صحيح في Corosync في التحقق من رسائل الانضمام
12:00 KSA
عالٍ CVSS 7.5 CWE-190
ثغرة تجاوز عدد صحيح في وحدة التحقق من صحة رسائل الانضمام في Corosync تسمح للمهاجمين البعيدين بإرسال حزم UDP مصنوعة خصيصاً. يؤدي هذا إلى توقف الخدمة وفقدان توفرها في البيئات المجمعة. تؤثر الثغرة على نشرات Corosync التي تستخدم وضع totemudp/totemudpu.
CVE-2026-35229
ثغرة الوصول غير المصرح به عبر الشبكة في Java VM بقاعدة بيانات Oracle
18:51 KSA
عالٍ CVSS 7.5
ثغرة في مكون Java VM بخادم قاعدة بيانات Oracle تسمح للمهاجمين غير المصرحين بالوصول عبر الشبكة دون الحاجة إلى بيانات اعتماد. يمكن للمهاجمين الناجحين الوصول إلى البيانات الحساسة والحرجة المخزنة في Java VM. تؤثر الثغرة على الإصدارات 19.3-19.30 و 21.3-21.21 من Oracle Database Server.
CVE-2026-35230
ثغرة تصعيد الامتيازات المحلية في Oracle VM VirtualBox 7.2.6 والتحكم بالمراقب الفائق
18:51 KSA
عالٍ CVSS 7.5
ثغرة في مكون Core من Oracle VM VirtualBox الإصدار 7.2.6 تتطلب امتيازات عالية وصول محلي للاستغلال. يمكن للمهاجم المصرح له محلياً الحصول على تحكم كامل بالمراقب الفائق والتأثير على الأنظمة الأخرى. تؤثر الثغرة على السرية والسلامة والتوفر مع درجة CVSS 7.5.
CVE-2026-35231
الوصول غير المصرح إلى البيانات في منتج Oracle للخدمات المالية
18:51 KSA
عالٍ CVSS 7.5
ثغرة في واجهة المستخدم لمنتج Oracle Financial Services Transaction Filtering تسمح بالوصول غير المصرح إلى البيانات المالية الحساسة. المهاجم لا يحتاج إلى بيانات اعتماد أو تفاعل من المستخدم للاستفادة من الثغرة عبر الشبكة.
CVE-2026-35242
ثغرة تصعيد صلاحيات محلية في Oracle VM VirtualBox 7.2.6
20:51 KSA
عالٍ CVSS 7.5
ثغرة في مكون Core من Oracle VM VirtualBox الإصدار 7.2.6 تسمح لمهاجم بصلاحيات عالية مع وصول محلي بتجاوز آليات الحماية. الهجوم يتطلب شروطاً صعبة لكنه قد يؤثر على الأنظمة الأخرى المستضافة على البرنامج الافتراضي.
CVE-2026-35245
ثغرة حجب الخدمة في Oracle VM VirtualBox 7.2.6 عبر بروتوكول RDP
20:51 KSA
عالٍ CVSS 7.5
ثغرة في مكون Core من Oracle VM VirtualBox الإصدار 7.2.6 تسمح لمهاجمين غير مصرح لهم بالوصول عبر الشبكة باستخدام بروتوكول RDP. الهجمات الناجحة تؤدي إلى حجب الخدمة الكامل وتعليق النظام بشكل متكرر.
CVE-2026-35251
ثغرة تصعيد الامتيازات في Oracle VM VirtualBox 7.2.6
20:51 KSA
عالٍ CVSS 7.5
ثغرة في مكون Core بـ Oracle VM VirtualBox 7.2.6 تسمح لمهاجم بامتيازات عالية بالوصول المحلي بتجاوز آليات الحماية. يمكن للهجوم الناجح أن يؤدي إلى السيطرة الكاملة على الجهاز الافتراضي والأنظمة المستضافة عليه. التأثير يمتد خارج VirtualBox ليشمل الأنظمة والخدمات الأخرى.
CVE-2026-35389
تجاوز التحقق من سلسلة الثقة لشهادات S/MIME في Bulwark Webmail
17:55 KSA
عالٍ CVSS 7.5 CWE-295
يفشل Bulwark Webmail في الإصدارات السابقة للإصدار 1.4.11 في التحقق من سلسلة الثقة لشهادات S/MIME، مما يسمح برسائل موقعة بشهادات غير موثوقة أو موقعة ذاتياً بالظهور كموقعة بشكل صحيح. يمكن للمهاجمين استخدام هذا الضعف لانتحال هوية المرسلين الموثوقين وخداع المستخدمين. الإصلاح متوفر في…
CVE-2026-35391
ثغرة تزييف عنوان IP في Bulwark Webmail عبر رأس X-Forwarded-For
17:55 KSA
عالٍ CVSS 7.5 CWE-348
تحتوي ثغرة CVE-2026-35391 على عيب في معالجة رأس X-Forwarded-For في Bulwark Webmail حيث يتم الوثوق بالإدخال الأول دون التحقق من صحته. يمكن للمهاجمين استغلال هذا لتجاوز حماية معدل الوصول على صفحة تسجيل الدخول الإدارية وتنفيذ هجمات القوة الغاشمة. كما يمكنهم تزييف سجلات التدقيق لإخفا…
CVE-2026-3585
ثغرة Path Traversal في مكون The Events Calendar لـ WordPress
03:13 KSA
عالٍ CVSS 7.5 CWE-22
ثغرة المسار المتجاوز (Path Traversal) في مكون The Events Calendar تسمح للمستخدمين المصرح لهم على مستوى المؤلف بتجاوز قيود الملفات والوصول إلى ملفات عشوائية على الخادم. يمكن استخدام هذه الثغرة لقراءة ملفات حساسة تحتوي على بيانات المستخدمين وبيانات الاعتماد وغيرها من المعلومات السر…
CVE-2026-3599
ثغرة حقن SQL في مكون Riaxe Product Customizer لـ WordPress عبر REST API
20:00 KSA
عالٍ CVSS 7.5 CWE-89
ثغرة حقن SQL في مكون Riaxe Product Customizer لـ WordPress تؤثر على جميع الإصدارات حتى 2.1.2، حيث يمكن للمهاجمين غير المصرح لهم استخراج معلومات حساسة من قاعدة البيانات. تنشأ الثغرة من عدم كفاية التحقق من صحة معامل 'options' في نقطة نهاية REST API للسلة. يمكن للمهاجمين إضافة استعل…
CVE-2026-3622
ثغرة قراءة خارج الحدود في UPnP لجهاز TP-Link TL-WR841N v14
03:24 KSA
عالٍ CVSS 7.5 CWE-125
تتعلق الثغرة بمكون UPnP في جهاز التوجيه TP-Link TL-WR841N الإصدار 14، حيث يؤدي عدم التحقق الكافي من صحة المدخلات إلى قراءة البيانات خارج حدود الذاكرة المخصصة. يمكن للمهاجمين استغلال هذه الثغرة لإرسال طلبات UPnP معيبة تسبب تعطل الخدمة وانقطاع الاتصال بالشبكة.
CVE-2026-40036
ثغرة رفض الخدمة في فك ضغط zlib غير المحدود في Unfurl
06:32 KSA
عالٍ CVSS 7.5 CWE-409
تحتوي نسخ Unfurl السابقة للإصدار 2026.04 على ثغرة في معالج parse_compressed.py تسمح بفك ضغط zlib غير محدود. يمكن للمهاجمين استغلال هذه الثغرة بإرسال حمولات مضغوطة بدرجة عالية عبر معاملات URL إلى نقطة النهاية /json/visjs. هذا يؤدي إلى استنزاف موارد الذاكرة وتعطل الخدمة.
CVE-2026-40073
تجاوز حد حجم الجسم في SvelteKit adapter-node
05:16 KSA
عالٍ CVSS 7.5 CWE-770
تسمح هذه الثغرة في SvelteKit بتجاوز حدود حجم الجسم المعرفة في adapter-node تحت ظروف معينة. الثغرة محدودة بـ adapter-node ولا تؤثر على حدود حجم الجسم في طبقات أخرى من مكدس التطبيق. تم إصلاح هذه الثغرة في الإصدار 2.57.1.
CVE-2026-40074
هجوم حجب الخدمة في دالة إعادة التوجيه بـ SvelteKit عبر أحرف رؤوس HTTP غير الصالحة
05:16 KSA
عالٍ CVSS 7.5 CWE-755
تحتوي نسخ SvelteKit السابقة للإصدار 2.57.1 على ثغرة في دالة redirect عند استدعاؤها من داخل خطاف handle الخادم مع معامل location يحتوي على أحرف غير صالحة في رؤوس HTTP. يمكن لمهاجم استغلال هذه الثغرة بتمرير مدخلات مستخدم غير معالجة تحتوي على أحرف غير صالحة، مما يسبب خطأ TypeError غ…
CVE-2026-4020
The Gravity SMTP plugin for WordPress is vulnerable to Sensitive Information Exposure in all versions up to, and includi
21:26 KSA
عالٍ CVSS 7.5 CWE-200
The Gravity SMTP plugin for WordPress is vulnerable to Sensitive Information Exposure in all versions up to, and including, 2.1.4. This is due to a REST API endpoint registered at /wp-json/gravitysmtp/v1/tests/mock-data with a permission_callback that unconditionally returns true…
CVE-2026-40246
free5GC is an open-source implementation of the 5G core network. In versions 1.4.2 and below of the UDR service, the han
20:43 KSA
عالٍ CVSS 7.5 CWE-285
free5GC is an open-source implementation of the 5G core network. In versions 1.4.2 and below of the UDR service, the handler for deleting Traffic Influence Subscriptions checks whether the influenceId path segment equals subs-to-notify, but does not return after sending the HTTP …
CVE-2026-40247
free5GC is an open-source implementation of the 5G core network. In versions 4.2.1 and below of the UDR service, the han
20:43 KSA
عالٍ CVSS 7.5 CWE-285
free5GC is an open-source implementation of the 5G core network. In versions 4.2.1 and below of the UDR service, the handler for reading Traffic Influence Subscriptions checks whether the influenceId path segment equals subs-to-notify, but does not return after sending the HTTP 4…
CVE-2026-40481
monetr is a budgeting application for recurring expenses. In versions 1.12.3 and below, the public Stripe webhook endpoi
02:00 KSA
عالٍ CVSS 7.5 CWE-400
monetr is a budgeting application for recurring expenses. In versions 1.12.3 and below, the public Stripe webhook endpoint buffers the entire request body into memory before validating the Stripe signature. A remote unauthenticated attacker can send oversized POST payloads to cau…
CVE-2026-40515
OpenHarness before commit bd4df81 contains a permission bypass vulnerability that allows attackers to read sensitive fil
18:48 KSA
عالٍ CVSS 7.5 CWE-863
OpenHarness before commit bd4df81 contains a permission bypass vulnerability that allows attackers to read sensitive files by exploiting incomplete path normalization in the permission checker. Attackers can invoke the built-in grep and glob tools with sensitive root directories …
CVE-2026-40584
RansomLook is a tool to monitor Ransomware groups and markets and extract their victims. Prior to 1.9.0, the API in the
04:00 KSA
عالٍ CVSS 7.5 CWE-200
RansomLook is a tool to monitor Ransomware groups and markets and extract their victims. Prior to 1.9.0, the API in the affected application improperly filters private location entries in website/web/api/genericapi.py. Because the code removes elements from a list while iterating…
CVE-2026-4060
ثغرة حقن SQL في إضافة Geo Mashup لـ WordPress عبر معامل الفرز
19:18 KSA
عالٍ CVSS 7.5 CWE-89
ثغرة حقن SQL قائمة على الوقت في إضافة Geo Mashup للووردبريس تؤثر على جميع الإصدارات حتى 1.13.18. الثغرة موجودة في معامل 'sort' حيث أن دالة esc_sql() غير فعالة في سياق ORDER BY لأن القيمة غير محاطة بعلامات اقتباس. يمكن للمهاجمين غير المصرح لهم استخراج معلومات حساسة من قاعدة البيان…
CVE-2026-4061
The Geo Mashup plugin for WordPress is vulnerable to Time-Based SQL Injection via the 'map_post_type' parameter in all v
19:18 KSA
عالٍ CVSS 7.5 CWE-89
The Geo Mashup plugin for WordPress is vulnerable to Time-Based SQL Injection via the 'map_post_type' parameter in all versions up to, and including, 1.13.18. This is due to the `SearchResults` hook explicitly calling `stripslashes_deep($_POST)` which removes WordPress magic quot…
CVE-2026-4062
The Geo Mashup plugin for WordPress is vulnerable to Time-Based SQL Injection via the 'object_ids' and 'exclude_object_i
19:18 KSA
عالٍ CVSS 7.5 CWE-89
The Geo Mashup plugin for WordPress is vulnerable to Time-Based SQL Injection via the 'object_ids' and 'exclude_object_ids' parameters in all versions up to, and including, 1.13.18. This is due to insufficient escaping on the user supplied parameters and lack of sufficient prepar…
CVE-2026-40869
Decidim is a participatory democracy framework. Starting in version 0.19.0 and prior to versions 0.30.5 and 0.31.1, a vu
23:16 KSA
عالٍ CVSS 7.5 CWE-266
Decidim is a participatory democracy framework. Starting in version 0.19.0 and prior to versions 0.30.5 and 0.31.1, a vulnerability allows any registered and authenticated user to accept or reject any amendments. The impact is on any users who have created proposals where the ame…
CVE-2026-40881
ZEBRA is a Zcash node written entirely in Rust. Prior to zebrad version 4.3.0 and zebra-network version 5.0.1, when dese
04:00 KSA
عالٍ CVSS 7.5 CWE-770
ZEBRA is a Zcash node written entirely in Rust. Prior to zebrad version 4.3.0 and zebra-network version 5.0.1, when deserializing addr or addrv2 messages, which contain vectors of addresses, Zebra would fully deserialize them up to a maximum length (over 233,000) that was derived…
CVE-2026-40895
follow-redirects is an open source, drop-in replacement for Node's `http` and `https` modules that automatically follows
03:32 KSA
عالٍ CVSS 7.5 CWE-200
follow-redirects is an open source, drop-in replacement for Node's `http` and `https` modules that automatically follows redirects. Prior to 1.16.0, when an HTTP request follows a cross-domain redirect (301/302/307/308), follow-redirects only strips authorization, proxy-authoriza…
CVE-2026-40938
Tekton Pipelines project provides k8s-style resources for declaring CI/CD-style pipelines. From 1.0.0 to before 1.11.0,
04:00 KSA
عالٍ CVSS 7.5 CWE-88
Tekton Pipelines project provides k8s-style resources for declaring CI/CD-style pipelines. From 1.0.0 to before 1.11.0, the git resolver's revision parameter is passed directly as a positional argument to git fetch without any validation that it does not begin with a - character.…
CVE-2026-41205
Mako is a template library written in Python. Prior to 1.3.11, TemplateLookup.get_template() is vulnerable to path trave
04:32 KSA
عالٍ CVSS 7.5 CWE-22
Mako is a template library written in Python. Prior to 1.3.11, TemplateLookup.get_template() is vulnerable to path traversal when a URI starts with // (e.g., //../../../secret.txt). The root cause is an inconsistency between two slash-stripping implementations. Any file readable …
CVE-2026-41259
Mastodon is a free, open-source social network server based on ActivityPub. Prior to v4.5.9, v4.4.16, and v4.3.22, Masto
04:32 KSA
عالٍ CVSS 7.5 CWE-841
Mastodon is a free, open-source social network server based on ActivityPub. Prior to v4.5.9, v4.4.16, and v4.3.22, Mastodon allows restricting new user sign-up based on e-mail domain names, and performs basic validation on e-mail addresses, but fails to restrict characters that a…
CVE-2026-41266
Flowise is a drag & drop user interface to build a customized large language model flow. Prior to 3.1.0, /api/v1/public-
21:54 KSA
عالٍ CVSS 7.5 CWE-200
Flowise is a drag & drop user interface to build a customized large language model flow. Prior to 3.1.0, /api/v1/public-chatbotConfig/:id ep exposes sensitive data including API keys, HTTP authorization headers and internal configuration without any authentication. An attacker wi…
CVE-2026-41275
Flowise is a drag & drop user interface to build a customized large language model flow. Prior to 3.1.0, the password re
10:48 KSA
عالٍ CVSS 7.5 CWE-319
Flowise is a drag & drop user interface to build a customized large language model flow. Prior to 3.1.0, the password reset functionality on cloud.flowiseai.com sends a reset password link over the unsecured HTTP protocol instead of HTTPS. This behavior introduces the risk of a m…
CVE-2026-41278
Flowise is a drag & drop user interface to build a customized large language model flow. Prior to 3.1.0, the GET /api/v1
15:01 KSA
عالٍ CVSS 7.5 CWE-200
Flowise is a drag & drop user interface to build a customized large language model flow. Prior to 3.1.0, the GET /api/v1/public-chatflows/:id endpoint returns the full chatflow object without sanitization for public chatflows. Docker validation revealed this is worse than initial…
CVE-2026-41279
Flowise is a drag & drop user interface to build a customized large language model flow. Prior to 3.1.0, the text-to-spe
15:01 KSA
عالٍ CVSS 7.5 CWE-639
Flowise is a drag & drop user interface to build a customized large language model flow. Prior to 3.1.0, the text-to-speech generation endpoint (POST /api/v1/text-to-speech/generate) is whitelisted (no auth) and accepts a credentialId directly in the request body. When called wit…
CVE-2026-41317
Press, a Frappe custom app that runs Frappe Cloud, manages infrastructure, subscription, marketplace, and software-as-a-
00:06 KSA
عالٍ CVSS 7.5 CWE-352
Press, a Frappe custom app that runs Frappe Cloud, manages infrastructure, subscription, marketplace, and software-as-a-service (SaaS).`press.api.account.create_api_secret` is prone to CSRF-like exploits. This endpoint writes to database and it is also accessible via GET method. …
CVE-2026-6320
The Salon Booking System – Free Version plugin for WordPress is vulnerable to Arbitrary File Read in versions up to, and
22:54 KSA
عالٍ CVSS 7.5 CWE-22
The Salon Booking System – Free Version plugin for WordPress is vulnerable to Arbitrary File Read in versions up to, and including, 10.30.25. This is due to the public booking flow accepting attacker-controlled file-field values and later using those stored values as trusted path…
CVE-2026-7649
ثغرة حقن SQL في مكون ARMember عبر معامل orderby
01:48 KSA
عالٍ CVSS 7.5 CWE-89
ثغرة حقن SQL العمياء القائمة على الوقت في مكون ARMember تسمح للمهاجمين بإدراج استعلامات SQL إضافية دون المصادقة. يمكن للمهاجمين استخراج بيانات حساسة مثل بيانات المستخدمين وكلمات المرور المجزأة من قاعدة البيانات.
CVE-2026-7224
A security flaw has been discovered in SourceCodester Pizzafy Ecommerce System 1.0. This affects the function delete_car
17:16 KSA
عالٍ CVSS 7.3 CWE-74
A security flaw has been discovered in SourceCodester Pizzafy Ecommerce System 1.0. This affects the function delete_cart of the file /admin/ajax.php?action=delete_cart. Performing a manipulation of the argument ID results in sql injection. The attack may be initiated remotely. T…
CVE-2026-7228
A flaw has been found in SourceCodester Pizzafy Ecommerce System 1.0. The affected element is the function get_cart_coun
23:32 KSA
عالٍ CVSS 7.3 CWE-74
A flaw has been found in SourceCodester Pizzafy Ecommerce System 1.0. The affected element is the function get_cart_count of the file /admin/ajax.php?action=get_cart_count. This manipulation of the argument ID causes sql injection. The attack is possible to be carried out remotel…
CVE-2026-7227
A vulnerability was detected in SourceCodester Pizzafy Ecommerce System 1.0. Impacted is the function Login of the file
23:32 KSA
عالٍ CVSS 7.3 CWE-74
A vulnerability was detected in SourceCodester Pizzafy Ecommerce System 1.0. Impacted is the function Login of the file /admin/ajax.php?action=login. The manipulation of the argument e-mail results in sql injection. The attack can be executed remotely. The exploit is now public a…
CVE-2026-7226
A security vulnerability has been detected in SourceCodester Pizzafy Ecommerce System 1.0. This issue affects the functi
23:32 KSA
عالٍ CVSS 7.3 CWE-74
A security vulnerability has been detected in SourceCodester Pizzafy Ecommerce System 1.0. This issue affects the function login2 of the file /admin/ajax.php?action=login2. The manipulation of the argument e-mail leads to sql injection. Remote exploitation of the attack is possib…
CVE-2026-7225
A weakness has been identified in SourceCodester Pizzafy Ecommerce System 1.0. This vulnerability affects the function d
20:45 KSA
عالٍ CVSS 7.3 CWE-74
A weakness has been identified in SourceCodester Pizzafy Ecommerce System 1.0. This vulnerability affects the function delete_menu of the file /admin/ajax.php?action=delete_menu. Executing a manipulation of the argument ID can lead to sql injection. The attack may be launched rem…
CVE-2026-7223
ثغرة SSRF في وسيط الوكيل الذكي لـ HyperChat عبر معالجة معامل baseurl
14:16 KSA
عالٍ CVSS 7.3 CWE-918
تم اكتشاف ثغرة SSRF في مكون AI Proxy Middleware في ملف aiProxyMiddleware.mts حيث يتم معالجة معامل baseurl بشكل غير آمن. يسمح هذا للمهاجمين بإرسال طلبات HTTP مزيفة من الخادم للوصول إلى الموارد الداخلية والخدمات المحمية. الاستغلال متاح علناً والمشروع لم يستجب للإبلاغ عن المشكلة.
CVE-2026-7644
A vulnerability has been found in ChatGPTNextWeb NextChat up to 2.16.1. Affected is the function addMcpServer of the fil
22:54 KSA
عالٍ CVSS 7.3 CWE-266
A vulnerability has been found in ChatGPTNextWeb NextChat up to 2.16.1. Affected is the function addMcpServer of the file app/mcp/actions.ts. The manipulation leads to improper authorization. Remote exploitation of the attack is possible. The exploit has been disclosed to the pub…
CVE-2026-7630
ثغرة مصادقة غير صحيحة في InnoShop في نقطة نهاية التثبيت
22:54 KSA
عالٍ CVSS 7.3 CWE-287
تحتوي نسخ InnoShop حتى 0.7.8 على ثغرة مصادقة غير صحيحة في وظيفة InstallServiceProvider::boot. يمكن استغلال هذه الثغرة عن بعد من قبل المهاجمين لتجاوز آليات المصادقة والوصول إلى وظائف التثبيت. تم الكشف عن الثغرة علنًا مما يزيد من خطر الاستغلال.
CVE-2026-7668
ثغرة قراءة خارج الحدود في SCEP بـ MikroTik RouterOS (CVE-2026-7668)
02:16 KSA
عالٍ CVSS 7.3 CWE-119
تؤثر هذه الثغرة على مكون SCEP في MikroTik RouterOS 6.49.8 وتسمح بقراءة الذاكرة خارج الحدود المخصصة. يمكن للمهاجمين البعيدين استغلال هذه الثغرة من خلال إرسال طلبات SCEP مصنوعة بعناية تحتوي على معاملات transactionID أو messageType معدلة. يتوفر استغلال عام للثغرة ولم يستجب البائع لإ…
CVE-2026-7670
ثغرة حقن SQL في معامل DeptIDList بملف Jinher OA 1.0 UserSel.aspx
02:16 KSA
عالٍ CVSS 7.3 CWE-74
ثغرة حقن SQL في نظام Jinher OA 1.0 تؤثر على ملف UserSel.aspx وتسمح بتنفيذ أوامر SQL عشوائية عبر معامل DeptIDList. يمكن استغلال الثغرة عن بعد وتم نشر أداة استغلال عامة لها. البائع لم يستجب لإشعارات الكشف المبكر.
CVE-2026-7490
CTMS and CPAS developed by Sunnet has an Arbitrary File Upload vulnerability, allowing privileged remote attackers to up
01:48 KSA
عالٍ CVSS 7.2 CWE-434
CTMS and CPAS developed by Sunnet has an Arbitrary File Upload vulnerability, allowing privileged remote attackers to upload and execute web shell backdoors, thereby enabling arbitrary code execution on the server.
CVE-2026-7049
The PixelYourSite Pro – Your smart PIXEL (TAG) Manager plugin for WordPress is vulnerable to Server-Side Request Forgery
01:48 KSA
عالٍ CVSS 7.2 CWE-918
The PixelYourSite Pro – Your smart PIXEL (TAG) Manager plugin for WordPress is vulnerable to Server-Side Request Forgery in all versions up to, and including, 12.5.0.1 via the scan_video. This makes it possible for unauthenticated attackers to make web requests to arbitrary locat…
CVE-2018-25309
MyBB Recent threads 17.0 contains a persistent cross-site scripting vulnerability that allows attackers to inject malici
03:54 KSA
عالٍ CVSS 7.2 CWE-79
MyBB Recent threads 17.0 contains a persistent cross-site scripting vulnerability that allows attackers to inject malicious scripts by creating threads with crafted subject lines. Attackers can create threads with script tags in the subject parameter to execute arbitrary JavaScri…
CVE-2026-5109
ثغرة Stored XSS في إضافة Gravity Forms لـ WordPress في حقول خيارات المنتجات
01:48 KSA
عالٍ CVSS 7.2 CWE-79
تحتوي إضافة Gravity Forms على ثغرة في التحقق من صحة حقول خيارات المنتجات حيث يتم قبول القيم المعالجة بـ wp_kses() ولكن يتم تخزين القيم الخام غير المعالجة في قاعدة البيانات. عند عرض تفاصيل الإدخالات في قسم ملخص الطلب، يتم إخراج تسميات الخيارات مباشرة دون هروب، مما يؤدي إلى تنفيذ J…
CVE-2026-5110
ثغرة حقن نصوص برمجية مخزنة غير مصرح بها في Gravity Forms في حقول المنتج الفردي المتداخلة
01:48 KSA
عالٍ CVSS 7.2 CWE-79
يؤثر هذا الضعف على مكون Gravity Forms الشهير المستخدم في العديد من مواقع WordPress في المملكة العربية السعودية. يسمح للمهاجمين بحقن أكواد برمجية ضارة في نماذج الويب التي تستخدم حقول المنتج المتداخلة. قد يؤدي هذا إلى سرقة بيانات المستخدمين أو تعطيل الخدمات أو نشر برامج ضارة.
CVE-2026-5111
ثغرة Stored XSS في Gravity Forms في حقول Hidden Product بـ Repeater
01:48 KSA
عالٍ CVSS 7.2 CWE-79
يحتوي مكون Gravity Forms على ثغرة Stored XSS في حقول Hidden Product عند استخدامها داخل حقول Repeater، حيث تتجاوز الحقول الفرعية فحوصات التحقق من الحالة. يتم تنفيذ البرامج النصية المحقونة عند عرض تفاصيل الإدخالات من قبل المسؤولين، مما قد يؤدي إلى اختراق حسابات المسؤولين والوصول إل…
CVE-2026-5112
ثغرة XSS مخزنة غير مصرح بها في حقول منتجات الحسابات في Gravity Forms
01:48 KSA
عالٍ CVSS 7.2 CWE-79
ثغرة XSS مخزنة في مكون Gravity Forms تسمح للمهاجمين بحقن أكواد HTML ضارة عبر حقول أسماء المنتجات في حقول المكررات. يتم تخزين الحمولة الضارة وتنفيذها عند عرض الإدخالات في لوحة تحكم WordPress. الثغرة تؤثر على الإصدارات حتى 2.10.0 وتتطلب تحديثاً فورياً.
CVE-2026-5113
ثغرة Stored XSS في حقول الموافقة المخفية في Gravity Forms (CVE-2026-5113)
01:48 KSA
عالٍ CVSS 7.2 CWE-79
يحتوي مكون Gravity Forms على ثغرة Stored XSS في حقول الموافقة المخفية بسبب آلية التحقق من الحالة المعيبة التي تفشل عند استخدام wp_kses() مع عدم كفاية الهروب من الإخراج. يمكن للمهاجمين غير المصرح لهم حقن حمولات XSS باستخدام علامات يتم تجريدها بواسطة wp_kses() مثل ، حيث يتم حف…
CVE-2026-5324
ثغرة حقن البرامج النصية المخزنة في إضافة Brizy Page Builder لـ WordPress
01:48 KSA
عالٍ CVSS 7.2 CWE-79
تحتوي إضافة Brizy Page Builder على ثغرة حقن برامج نصية مخزنة تسمح للمهاجمين غير المصرح لهم بإدراج رموز خبيثة عبر نماذج الويب. تنتج الثغرة عن عدم التحقق من الرموز الأمنية (nonce) وعدم معالجة صحيحة لحقول تحميل الملفات وعكس ترميز الأمان باستخدام html_entity_decode().
CVE-2026-6229
The Royal Elementor Addons plugin for WordPress is vulnerable to Server-Side Request Forgery in versions up to, and incl
01:48 KSA
عالٍ CVSS 7.2 CWE-918
The Royal Elementor Addons plugin for WordPress is vulnerable to Server-Side Request Forgery in versions up to, and including, 1.7.1057. This is due to insufficient validation of user-supplied URLs in the render_csv_data() function, which can be bypassed by including 'docs.google…
CVE-2026-4100
ثغرة تعديل Stripe Webhook غير المصرح بها في إضافة Paid Memberships Pro
22:54 KSA
عالٍ CVSS 7.1 CWE-862
تحتوي إضافة Paid Memberships Pro على ثغرة في معالجات AJAX الخاصة بـ Stripe تفتقد فحوصات القدرات، مما يسمح للمستخدمين المصرحين بحذف أو إنشاء أو إعادة بناء webhooks. هذا يمكن أن يعطل معالجة الدفع بالكامل وإدارة الاشتراكات والتجديدات والإلغاءات.
CVE-2025-14726
The Widgets for Social Photo Feed plugin for WordPress is vulnerable to unauthorized access of data and modification of
11:32 KSA
متوسط CVSS 6.5 CWE-200
The Widgets for Social Photo Feed plugin for WordPress is vulnerable to unauthorized access of data and modification of data due to a missing capability check on the '/trustindex_feed_hook_instagram/troubleshooting' and '/trustindex_feed_hook_instagram/submit-data' REST API endpo…
CVE-2026-7645
ثغرة اجتياز المسار في واجهة MCP لـ ruvnet sublinear-time-solver
00:00 KSA
متوسط CVSS 6.5 CWE-22
تم اكتشاف ثغرة اجتياز مسار في مكون واجهة MCP بملف src/consciousness-explorer/mcp/server.js في إصدار 1.5.0 من ruvnet sublinear-time-solver. تسمح هذه الثغرة للمهاجمين بالوصول إلى ملفات عشوائية على النظام من خلال معالجة غير آمنة لمعاملات المسار. تم الكشف عن الثغرة علناً وتوفر أدوات …
CVE-2026-7633
ثغرة إدراج ملفات بعيدة في Totolik N300RH عبر معامل FileName
21:36 KSA
متوسط CVSS 6.5 CWE-73
تؤثر هذه الثغرة على موجهات Totolik N300RH المستخدمة على نطاق واسع في المؤسسات السعودية، مما يسمح للمهاجمين البعيدين باستغلال ثغرة إدراج الملفات. الاستغلال المتاح علناً يزيد من خطر التعرض للهجمات على الأنظمة التي تستخدم إصدارات البرنامج الثابت القديمة.
CVE-2026-6457
ثغرة حقن SQL في إضافة Geo Mashup لـ WordPress عبر معامل geo_mashup_null_fields
16:16 KSA
متوسط CVSS 6.5 CWE-89
ثغرة حقن SQL العمياء المستندة إلى الوقت في إضافة Geo Mashup للووردبريس تسمح للمهاجمين المصرح لهم برمستوى المشترك أو أعلى باستخراج معلومات حساسة من قاعدة البيانات. تنتج الثغرة عن عدم كفاية تنظيف المدخلات وعدم استخدام استعلامات معدة مسبقاً. يمكن للمهاجمين إضافة استعلامات SQL إضافية…
CVE-2026-7209
ثغرة Stored XSS في مكون Simple Link Directory لـ WordPress عبر اختصار qcopd-directory
11:32 KSA
متوسط CVSS 6.4 CWE-79
تحتوي ثغرة Stored XSS على خطورة متوسطة وتؤثر على مكون Simple Link Directory الشهير في WordPress. تسمح الثغرة للمستخدمين المصرحين بمستوى المساهم أو أعلى بحقن برامج نصية ضارة عبر سمات مثل title_font_size في اختصار qcopd-directory.
CVE-2026-6916
ثغرة Stored XSS في Jeg Kit for Elementor عبر معامل sg_content_number_prefix
14:00 KSA
متوسط CVSS 6.4 CWE-79
يؤثر هذا الضعف على مكون Jeg Kit for Elementor الشهير المستخدم في مواقع WordPress لإنشاء محتوى متقدم. يمكن لأي مستخدم لديه صلاحيات مساهم أو أعلى حقن كود JavaScript ضار سيتم تنفيذه في متصفحات جميع الزوار. الثغرة ناتجة عن عدم تطهير المدخلات بشكل كافٍ وعدم ترميز المخرجات بشكل صحيح.
CVE-2026-0703
The NextMove Lite – Thank You Page for WooCommerce plugin for WordPress is vulnerable to Stored Cross-Site Scripting via
21:36 KSA
متوسط CVSS 6.4 CWE-79
The NextMove Lite – Thank You Page for WooCommerce plugin for WordPress is vulnerable to Stored Cross-Site Scripting via the plugin's 'xlwcty_current_date' shortcode in all versions up to, and including, 2.23.0 due to insufficient input sanitization and output escaping on user su…
CVE-2026-4658
ثغرة XSS المخزنة في إضافة Essential Blocks في كتلة إضافة إلى السلة
11:32 KSA
متوسط CVSS 6.4 CWE-79
تحتوي إضافة Essential Blocks على ثغرة XSS مخزنة في كتلة إضافة إلى السلة حيث لم يتم الهروب الكافي من سمات className و classHook و blockId. يمكن للمهاجمين الذين لديهم وصول على مستوى المساهم حقن نصوص برمجية ضارة تبقى وتُنفذ لجميع زوار الصفحة.
CVE-2026-6378
ثغرة Stored XSS في إضافة Maxi Blocks لـ WordPress عبر REST API
11:32 KSA
متوسط CVSS 6.4 CWE-79
ثغرة Stored XSS في إضافة Maxi Blocks لـ WordPress تؤثر على جميع الإصدارات حتى 2.1.9 عبر نقطة نهاية REST API. تسمح الثغرة للمستخدمين المصرحين على مستوى المؤلف وأعلى بحقن نصوص برمجية ضارة تُنفذ على جميع صفحات الموقع وواجهة الإدارة.
CVE-2026-7653
حقن الأوامر في دالة open_image_in_browser في mcp-server-rijksmuseum
00:00 KSA
متوسط CVSS 6.3 CWE-77
ثغرة حقن أوامر نظام التشغيل في مكون واجهة MCP الخاص بـ mcp-server-rijksmuseum تسمح بتنفيذ أوامر تعسفية عبر معامل imageUrl غير المحقق. الثغرة قابلة للاستغلال عن بعد وتم الإفراج عن استغلالات عامة لها. المشروع لم يستجب بعد للإبلاغ عن المشكلة.
CVE-2026-7602
ثغرة تفويض غير صحيح في JeecgBoot FillRuleUtil عبر معامل ruleClass
11:32 KSA
متوسط CVSS 6.3 CWE-266
ثغرة في JeecgBoot تؤثر على مكون FillRuleUtil تسمح بتجاوز آليات التفويض من خلال معالجة معامل ruleClass بشكل غير صحيح. يمكن للمهاجمين البعيدين استغلال هذه الثغرة للوصول غير المصرح به إلى الوظائف الحساسة في النظام.
CVE-2026-7642
حقن أوامر نظام التشغيل في معامل outputPath في pskill9 website-downloader
21:36 KSA
متوسط CVSS 6.3 CWE-77
ثغرة حقن أوامر نظام التشغيل في مكون MCP Interface لتطبيق pskill9 website-downloader تسمح بتنفيذ أوامر نظام عشوائية عن بعد. يتم استغلال الثغرة من خلال معاملات outputPath المعدلة في وظيفة download_website. الاستغلال متاح للعامة ولم يرد المطورون على تقارير المشكلة.
CVE-2026-7629
حقن الأوامر في أداة مراجعة الأكواد في kleneway awesome-cursor-mpc-server
21:36 KSA
متوسط CVSS 6.3 CWE-74
يوجد ثغرة حقن أوامر في مكون أداة مراجعة الأكواد بمشروع kleneway awesome-cursor-mpc-server حتى الإصدار 2.0.1. تسمح هذه الثغرة للمهاجمين بتنفيذ أوامر تعسفية عن بعد من خلال دالة runCodeReviewTool. تم نشر استغلال نشط للثغرة ولم يقم المطورون بمعالجتها رغم الإخطار المبكر.
CVE-2026-7628
حقن الأوامر في معالج RepoMix لخادم مراجعة الكود من crazyrabbitLTC
18:48 KSA
متوسط CVSS 6.3 CWE-74
تم اكتشاف ثغرة حقن أوامر في مكون معالج أوامر RepoMix بملف src/repomix.ts في خادم مراجعة الكود من crazyrabbitLTC. يمكن للمهاجمين البعيدين استغلال هذه الثغرة لتنفيذ أوامر تعسفية على النظام المتأثر. الاستغلال متاح للعموم والمشروع لم يستجب للإشعارات الأمنية حتى الآن.
CVE-2026-7627
ثغرة اجتياز المسار في 8nite MetaTrader-4-MCP 1.0.0 معامل ea_name
18:48 KSA
متوسط CVSS 6.3 CWE-22
تؤثر هذه الثغرة على مكون sync_ea_from_file في ملف src/index.ts وتسمح للمهاجمين بالتلاعب بمعامل ea_name لاجتياز قيود المسار. تم الكشف عن الثغرة علناً وقد يتم استخدامها في هجمات نشطة. لم يستجب المشروع للإبلاغ عن المشكلة حتى الآن.
CVE-2026-7609
حقن أوامر نظام التشغيل في أداة التشخيص بجهاز TRENDnet TEW-821DAP
18:48 KSA
متوسط CVSS 6.3 CWE-77
ثغرة حقن أوامر نظام التشغيل موجودة في وظيفة tools_diagnostic بملف /tmp/diagnostic في مكون تحديث البرامج الثابتة. تسمح هذه الثغرة بتنفيذ أوامر نظام التشغيل بشكل بعيد على الأجهزة المتأثرة. المنتج قد توقف دعمه منذ 8 سنوات ولم يعد يُباع من قبل الشركة المصنعة.
⚠️ استخبارات التهديدات
6 تهديد
rss:BleepingComputer
20:57 KSA
عالٍ phishing
هجمات ConsentFix v3 تستهدف Azure بإساءة استخدام OAuth المؤتمتة يمثل ConsentFix v3 تطوراً في تقنيات الهجوم التي تستهدف بنية Azure السحابية من خلال إساءة استخدام OAuth المؤتمتة، مما يمكّن المهاجمين من توسيع نطاق حملات التصيد والاستحواذ على بيانات الاعتماد. يعتمد ه…
rss:SecurityWeek
18:00 KSA
عالٍ phishing
مجموعة Bluekit للتصيد الاحتيالي الجديدة تتضمن مساعد ذكاء اصطناعي Bluekit هي مجموعة تصيد احتيالي ناشئة تستخدم تقنية الذكاء الاصطناعي لأتمتة تسجيل النطاقات وعمليات جمع بيانات الاعتماد. تمكن قدرات مساعد الذكاء الاصطناعي الجهات الفاعلة الضارة من تبسيط نشر حملات التص…
rss:The Hacker News
13:48 KSA
عالٍ supply_chain
تريليكس تؤكد اختراق الكود المصدري مع وصول غير مصرح به للمستودع أعلنت شركة الأمن السيبراني تريليكس عن اختراق أثر على أجزاء من مستودع الكود المصدري الخاص بها من خلال وصول غير مصرح به. قامت الشركة بتعيين خبراء الطب الشرعي الرقمي للتحقيق والتعامل مع الحادثة، مما يثي…
rss:BleepingComputer
07:00 KSA
منخفض general
مايكروسوفت تختبر حوار تشغيل ويندوز حديث، وتؤكد أنه أسرع من الحوار القديم تختبر مايكروسوفت حوار تشغيل حديث جديد لنظام ويندوز 11 مع دعم الوضع الليلي وأداء محسّن. يمثل هذا التحديث تحديثاً لمكونات ويندوز القديمة مع قدرات واجهة مستخدم محسّنة.
rss:BleepingComputer
07:00 KSA
عالٍ data_breach
شركة تكنولوجيا التعليم Instructure تكشف عن حادثة سيبرانية وتحقق في تأثيرها كشفت شركة Instructure، مطورة منصة Canvas الشهيرة لإدارة التعلم، عن حادثة أمنية سيبرانية وتجري تحقيقاً في نطاقها وتأثيرها. تؤثر هذه الحادثة على المؤسسات التعليمية في جميع أنحاء العالم التي…
rss:Dark Reading
03:00 KSA
حرج apt
76% من جميع العملات المشفرة المسروقة في 2026 موجودة الآن في كوريا الشمالية يقوم الفاعلون التهديديون من كوريا الشمالية بتنفيذ عمليات سرقة عملات مشفرة واسعة النطاق بتكرار متزايد، مع احتمال استخدام قدرات الذكاء الاصطناعي لتعزيز هجماتهم. يمثل هذا تحولاً كبيراً في نش…
📰 أخبار الأمن السيبراني
2 مقال
حملة تصيد متقدمة تستهدف عملاء البنوك السعودية باستخدام استنساخ الصوت بالذكاء الاصطناعي
03:51 KSA
📡 ai_seeder
كشف باحثون في الأمن السيبراني عن عملية تصيد متطورة تستهدف عملاء البنوك السعودية الكبرى باستخدام تقنية استنساخ الصوت المدعومة بالذكاء الاصطناعي. اخترقت الحملة أكثر من 1,200 حساب في المملكة بخسائر تتجاو…
ساما تفرض مراقبة المعاملات في الوقت الفعلي بعد هجوم فدية بقيمة 240 مليون ريال على مؤسسة مالية إقليمي
03:51 KSA
📡 ai_seeder
أصدر البنك المركزي السعودي التوجيه الطارئ SAMA/CYB/2024/08 الذي يلزم جميع الجهات المالية المرخصة بتطبيق أنظمة متقدمة لمراقبة المعاملات في الوقت الفعلي خلال 90 يوماً. يأتي ذلك بعد هجوم فدية مدمر شفّر ا…

يتم تحديث هذه النشرة تلقائياً يومياً — آخر تحديث: 02 May 2026
أرشيف الثغرات · التهديدات · الأخبار

📣 وجدت هذا مفيداً؟
شاركه مع شبكة الأمن السيبراني الخاصة بك
in لينكدإن 𝕏 تويتر 💬 واتساب ✈ تليجرام
🍪 إعدادات الخصوصية
سيزو للاستشارات — متوافق مع نظام حماية البيانات الشخصية السعودي (PDPL)
نستخدم ملفات تعريف الارتباط والتقنيات المشابهة لتوفير أفضل تجربة على منصتنا. يمكنك اختيار الأنواع التي تقبلها.
🔒
ملفات ضرورية Always On
مطلوبة لعمل الموقع بشكل صحيح. لا يمكن تعطيلها.
📋 الجلسات، CSRF، المصادقة، تفضيلات اللغة
📊
ملفات التحليلات
تساعدنا في فهم كيفية استخدام الزوار للموقع وتحسين الأداء.
📋 إحصائيات الصفحات، مدة الجلسة، مصدر الزيارة
⚙️
ملفات وظيفية
تتيح ميزات محسنة مثل تخصيص المحتوى والتفضيلات.
📋 السمة المظلمة/الفاتحة، حجم الخط، لوحات التحكم المخصصة
📣
ملفات تسويقية
تُستخدم لتقديم محتوى وإعلانات ذات صلة باهتماماتك.
📋 تتبع الحملات، إعادة الاستهداف، تحليلات وسائل التواصل
سياسة الخصوصية →
مساعد CISO الذكي
اسألني أي شيء · وثائق · دعم
🔐

عرّفنا بنفسك

أدخل بياناتك للوصول إلى المساعد الكامل

معلوماتك آمنة ولن تُشارك
💬
المساعد السيبراني
متصل — يرد في ثوانٍ
5 / 5
🔐 تحقق من هويتك

أدخل بريدك الإلكتروني لإرسال رمز تحقق قبل إرسال طلب الدعم.

Enter للإرسال · / للأوامر 0 / 2000
CISO AI · مدعوم بالذكاء الاصطناعي
✦ استطلاع سريع ساعدنا في تحسين منصة سيزو للاستشارات ملاحظاتك تشكّل مستقبل منصتنا — لا تستغرق سوى دقيقتين.
⚠ يرجى الإجابة على هذا السؤال للمتابعة

كيف تقيّم تجربتك العامة مع منصتنا؟

قيّم من 1 (ضعيف) إلى 5 (ممتاز)

🎉
شكراً جزيلاً!
تم تسجيل إجابتك بنجاح.