178
ثغرة
6
تهديد
0
خبر
🛡 الثغرات الأمنية (CVE)
تسمح هذه الثغرة للمهاجمين الذين يمتلكون بيانات اعتماد عقدة موثوقة بتجاوز الضوابط الأمنية وتنفيذ كود تعسفي على بوابة OpenClaw. يتم استغلال الثغرة من خلال آلية معالجة طلبات node.event التي تفتقر إلى التحقق الكافي من الصلاحيات.
ثغرة تجاوز المخزن المؤقت في جهاز التوجيه D-Link DIR-825M الإصدار 1.1.12 في وظيفة sub_4151FC المسؤولة عن إعداد VPN. يمكن للمهاجمين البعيدين استغلال هذه الثغرة من خلال إرسال قيمة معيبة في معامل submit-url لتنفيذ تعليمات برمجية عشوائية على الجهاز.
تؤثر هذه الثغرة على جهاز التوجيه D-Link DIR-825M الإصدار 1.1.12 حيث يمكن للمهاجمين البعيدين استغلال تجاوز المخزن المؤقت في وظيفة معالجة معاملات WAN. يسمح الاستغلال بتنفيذ تعليمات برمجية عشوائية بامتيازات الجهاز، مما قد يؤدي إلى السيطرة الكاملة على جهاز التوجيه والشبكة المتصلة به.
CVE-2026-7674
A flaw has been found in Shenzhen Libituo Technology LBT-T300-HW1 up to 1.2.8. This issue affects the function start_sin
02:16 KSA
A flaw has been found in Shenzhen Libituo Technology LBT-T300-HW1 up to 1.2.8. This issue affects the function start_single_service of the component Web Management Interface. Executing a manipulation of the argument vpn_pptp_server/vpn_l2tp_server can lead to buffer overflow. The…
CVE-2026-7675
A vulnerability has been found in Shenzhen Libituo Technology LBT-T300-HW1 up to 1.2.8. Impacted is the function start_l
02:16 KSA
A vulnerability has been found in Shenzhen Libituo Technology LBT-T300-HW1 up to 1.2.8. Impacted is the function start_lan of the file /apply.cgi. The manipulation of the argument Channel/ApCliSsid leads to buffer overflow. The attack is possible to be carried out remotely. The e…
CVE-2026-7684
A security vulnerability has been detected in Edimax BR-6428nC up to 1.16. This impacts an unknown function of the file
02:16 KSA
A security vulnerability has been detected in Edimax BR-6428nC up to 1.16. This impacts an unknown function of the file /goform/setWAN. Such manipulation of the argument pptpDfGateway leads to buffer overflow. The attack can be launched remotely. The exploit has been disclosed p…
CVE-2026-7685
A vulnerability was detected in Edimax BR-6208AC up to 1.02. Affected is an unknown function of the file /goform/setWAN.
02:16 KSA
A vulnerability was detected in Edimax BR-6208AC up to 1.02. Affected is an unknown function of the file /goform/setWAN. Performing a manipulation of the argument pptpDfGateway results in buffer overflow. The attack may be initiated remotely. The exploit is now public and may be…
تحتوي OpenCATS على ثغرة حقن كود PHP في نقطة نهاية AJAX للمثبت تسمح بتنفيذ كود عشوائي دون مصادقة. يمكن للمهاجمين الخروج من سياق سلسلة define() باستخدام علامة اقتباس واحدة وفاصل بيان لحقن كود PHP ضار. يستمر الكود المحقون في ملف config.php ويتم تنفيذه عند كل تحميل صفحة طالما ظل معال…
تحتوي منتجات AVACAST على ثغرة اختطاف مكتبات ديناميكية تسمح للمستخدمين المصرحين محليًا بوضع ملفات DLL ضارة في مجلدات محددة. عند تحميل النظام للمكتبة الضارة، يتم تنفيذ الكود الخبيث بصلاحيات النظام الكاملة.
CVE-2019-25279
تخزين كلمات المرور بصيغة نصية واضحة في FaceSentry 6.4.8 في قاعدة بيانات SQLite
04:01 KSA
تمثل هذه الثغرة خللاً أمنياً حرجاً في نظام التحكم بالوصول FaceSentry حيث يتم تخزين كلمات المرور وبيانات الاعتماد بصيغة نص واضح غير مشفر في قاعدة بيانات SQLite. يمكن للمهاجمين الوصول المباشر إلى الملف FaceSentryWeb.sqlite الموجود في مسار /faceGuard/database دون الحاجة إلى أي مصادق…
CVE-2020-36905
ثغرة إدراج ملفات بعيدة في FIBARO Home Center 5.021 عبر واجهة برمجية وكيل غير موثقة
04:01 KSA
تتيح هذه الثغرة الأمنية للمهاجمين استغلال واجهة برمجية غير موثقة في نظام FIBARO Home Center لتضمين ملفات خارجية وحقن أكواد برمجية ضارة من جانب العميل. يمكن للمهاجمين التلاعب بمعامل 'url' في طلبات GET لتنفيذ هجمات Cross-Site Scripting متقدمة واختطاف جلسات المستخدمين الشرعيين. تشكل…
تؤثر هذه الثغرة الأمنية على واجهة NetConfig في نظام Aerohive HiveOS حيث يمكن للمهاجمين غير المصرح لهم استغلال نقطة ضعف في معالجة الموارد لتعطيل واجهة الإدارة. يتم ذلك عبر إرسال طلبات HTTP مُعدّة بشكل خاص إلى السكريبت action.php5 مع معاملات محددة تؤدي إلى استنزاف الموارد وتعطيل ال…
CVE-2020-36914
كشف بيانات اعتماد المصادقة غير المشفرة في QiHang Media Web Digital Signage 3.0.9
04:01 KSA
تتيح هذه الثغرة الأمنية للمهاجمين عن بُعد اعتراض بيانات اعتماد المصادقة من خلال نقل ملفات تعريف الارتباط بنص واضح دون تشفير. يمكن للمهاجمين تنفيذ هجمات الرجل في الوسط (MITM) للاستيلاء على بيانات الاعتماد المخزنة والمنقولة بطريقة غير آمنة. تشكل هذه الثغرة خطراً كبيراً على سرية الب…
تسمح هذه الثغرة الأمنية للمهاجمين عن بُعد باعتراض بيانات اعتماد المصادقة من خلال نقل ملفات تعريف الارتباط بنص واضح عبر بروتوكول HTTP غير المشفر. يمكن للمهاجمين استغلال ميزة الحفظ التلقائي (autoSave) لالتقاط كلمات مرور المستخدمين أثناء هجمات الوسيط على الاتصالات. تصنف الثغرة ضمن C…
تتيح هذه الثغرة الأمنية للمهاجمين الوصول إلى ملفات السجلات الحساسة وموارد النظام في نظام RED-V للافتات الرقمية دون الحاجة إلى بيانات اعتماد. يمكن استغلال نقاط الوصول المتعددة للحصول على معلومات تصحيح الأخطاء التي قد تحتوي على بيانات حساسة مثل مسارات النظام وتكوينات الخادم ومعلوما…
تتيح هذه الثغرة الأمنية من نوع CWE-497 للمهاجمين غير المصادق عليهم الوصول إلى معلومات حساسة عن النظام من خلال نقاط نهاية واجهة برمجة التطبيقات المكشوفة في نظام سوني BRAVIA للعروض الرقمية. يمكن للمهاجمين استخراج معلومات واجهات الشبكة وإعدادات الخادم والبيانات الوصفية للنظام دون ال…
تتيح هذه الثغرة الأمنية للمهاجمين غير المصرح لهم استغلال معالج تسجيل محاولات الدخول الفاشلة 'ual_shook_wp_login_failed' الذي يفتقر إلى فحص الصلاحيات المناسبة. يقوم المعالج بكتابة أسماء المستخدمين الفاشلة مباشرة في استدعاءات update_option() مما يسمح بتغيير قيم إعدادات الموقع الحسا…
تمثل هذه الثغرة الأمنية خطراً كبيراً على منصات التجارة الإلكترونية التي تستخدم إضافة WooCommerce Square لمعالجة المدفوعات. تنشأ المشكلة من عدم التحقق الكافي من صلاحيات المستخدم في دالة get_token_by_id، مما يسمح لأي مهاجم غير مصرح له بالوصول المباشر إلى قيم رموز بطاقات الائتمان ال…
CVE-2025-13493
ثغرة تصدير بيانات المستخدمين غير المصرح بها في مكون Latest Registered Users
04:01 KSA
تمثل هذه الثغرة خطراً أمنياً كبيراً حيث تسمح للمهاجمين غير المصادق عليهم بتصدير معلومات المستخدمين المسجلين دون أي تفويض. يستغل المهاجمون نقاط النهاية admin_post_my_simple_form وadmin_post_nopriv_my_simple_form التي تفتقر إلى آليات التحقق الأمنية الأساسية. يمكن للمهاجم الحصول على…
تمثل هذه الثغرة الأمنية خطراً كبيراً حيث تسمح للمهاجمين غير المصادق عليهم باستغلال معامل الملف في إضافة Yoco Payments لقراءة أي ملف على الخادم. يمكن للمهاجمين الوصول إلى ملفات التكوين الحساسة مثل wp-config.php التي تحتوي على بيانات اعتماد قاعدة البيانات ومفاتيح الأمان. تصنف الثغر…
تنشأ الثغرة من غياب فحص الصلاحيات المناسب على وظيفة AJAX المسماة 'send_test_email' في إضافة Reviewify، مما يسمح لأي مستخدم مصادق عليه بمستوى مساهم أو أعلى بإنشاء قسائم خصم WooCommerce دون تفويض مناسب. يمكن استغلال هذه الثغرة لإنشاء قسائم خصم بقيم عشوائية وشروط مخصصة، مما يؤدي إلى…
تسمح هذه الثغرة الأمنية في نظام إدارة الشبكات Broadcom DX NetOps Spectrum بنقل المعلومات الحساسة عبر الشبكة دون تشفير، مما يعرض بيانات الاعتماد ومعلومات التكوين والبيانات التشغيلية لخطر الاعتراض من قبل المهاجمين. يمكن للمهاجم الذي يمتلك وصولاً إلى الشبكة استخدام أدوات التنصت لالت…
CVE-2025-9280
A security issue exists within ArmorStart® LT that can result in a denial-of-service condition. Fuzzing performed using
04:01 KSA
A security issue exists within ArmorStart® LT that can result in a denial-of-service condition. Fuzzing performed using Defensics causes the device to become unresponsive, requiring a reboot.
CVE-2025-9281
A security issue exists within ArmorStart® LT that can result in a denial-of-service condition. During execution of the
04:01 KSA
A security issue exists within ArmorStart® LT that can result in a denial-of-service condition. During execution of the Achilles Comprehensive step limit storm tests, the device reboots
CVE-2025-9282
A security issue exists within ArmorStart® LT that can result in a denial-of-service condition. During execution of the
04:01 KSA
A security issue exists within ArmorStart® LT that can result in a denial-of-service condition. During execution of the Achilles Comprehensive limited storm tests, the device reboots unexpectedly, causing the Link State Monitor to go down for several seconds.
CVE-2025-9283
A security issue exists within ArmorStart® LT that can result in a denial-of-service condition. During execution of the
04:01 KSA
A security issue exists within ArmorStart® LT that can result in a denial-of-service condition. During execution of the Achilles EtherNet/IP Step Limits Storms tests, the device reboots unexpectedly, causing the Link State Monitor to go down for several seconds.
CVE-2025-9464
A security issue exists within ArmorStart® LT that can result in a denial-of-service condition. This vulnerability is tr
04:01 KSA
A security issue exists within ArmorStart® LT that can result in a denial-of-service condition. This vulnerability is triggered during fuzzing of multiple CIP classes, which causes the CIP port to become unresponsive.
CVE-2025-9465
A security issue exists within ArmorStart® LT that can result in a denial-of-service condition. During execution of the
04:01 KSA
A security issue exists within ArmorStart® LT that can result in a denial-of-service condition. During execution of the Achilles Comprehensive grammar tests, the device reboots unexpectedly, causing the Link State Monitor to go down for several seconds.
CVE-2025-9466
A security issue exists within ArmorStart® LT that can result in a denial-of-service condition. During execution of the
04:01 KSA
A security issue exists within ArmorStart® LT that can result in a denial-of-service condition. During execution of the Achilles EtherNet/IP and CIP grammar tests, the device reboots unexpectedly, causing the Link State Monitor to go down for several seconds.
CVE-2026-0227
A vulnerability in Palo Alto Networks PAN-OS software enables an unauthenticated attacker to cause a denial of service (
04:01 KSA
A vulnerability in Palo Alto Networks PAN-OS software enables an unauthenticated attacker to cause a denial of service (DoS) to the firewall. Repeated attempts to trigger this issue results in the firewall entering into maintenance mode.
CVE-2026-0490
SAP BusinessObjects BI Platform allows an unauthenticated attacker to craft a specific network request to the trusted en
04:01 KSA
SAP BusinessObjects BI Platform allows an unauthenticated attacker to craft a specific network request to the trusted endpoint that breaks the authentication, which prevents the legitimate users from accessing the platform. As a result, it has a high impact on the availability bu…
CVE-2026-0560
A Server-Side Request Forgery (SSRF) vulnerability exists in parisneo/lollms versions prior to 2.2.0, specifically in th
21:26 KSA
A Server-Side Request Forgery (SSRF) vulnerability exists in parisneo/lollms versions prior to 2.2.0, specifically in the `/api/files/export-content` endpoint. The `_download_image_to_temp()` function in `backend/routers/files.py` fails to validate user-controlled URLs, allowing …
تؤثر هذه الثغرة على فئة UriTemplate في حزمة MCP TypeScript SDK حيث يتم إنشاء تعبيرات نمطية ديناميكياً لمعالجة أنماط المصفوفات المفصلة وفق معيار RFC 6570. تحتوي هذه التعبيرات على محددات كمية متداخلة تؤدي إلى التراجع الكارثي عند معالجة مدخلات URI مصممة بشكل خبيث. ينتج عن ذلك استهلا…
CVE-2026-0702
The VidShop – Shoppable Videos for WooCommerce plugin for WordPress is vulnerable to time-based SQL Injection via the 'f
04:01 KSA
The VidShop – Shoppable Videos for WooCommerce plugin for WordPress is vulnerable to time-based SQL Injection via the 'fields' parameter in all versions up to, and including, 1.1.4 due to insufficient escaping on the user supplied parameter and lack of sufficient preparation on t…
CVE-2026-0789
ALGO 8180 IP Audio Alerter Web UI Inclusion of Authentication Cookie in Response Body Information Disclosure Vulnerabili
04:01 KSA
ALGO 8180 IP Audio Alerter Web UI Inclusion of Authentication Cookie in Response Body Information Disclosure Vulnerability. This vulnerability allows remote attackers to disclose sensitive information on affected installations of ALGO 8180 IP Audio Alerter devices. Authentication…
CVE-2026-0790
ALGO 8180 IP Audio Alerter Web UI Direct Request Information Disclosure Vulnerability. This vulnerability allows remote
04:01 KSA
ALGO 8180 IP Audio Alerter Web UI Direct Request Information Disclosure Vulnerability. This vulnerability allows remote attackers to disclose sensitive information on affected installations of ALGO 8180 IP Audio Alerter devices. Authentication is not required to exploit this vuln…
CVE-2026-0897
Allocation of Resources Without Limits or Throttling in the HDF5 weight loading component in Google Keras 3.0.0 through
04:01 KSA
Allocation of Resources Without Limits or Throttling in the HDF5 weight loading component in Google Keras 3.0.0 through 3.13.0 on all platforms allows a remote attacker to cause a Denial of Service (DoS) through memory exhaustion and a crash of the Python interpreter via a crafte…
CVE-2026-0911
The Hustle – Email Marketing, Lead Generation, Optins, Popups plugin for WordPress is vulnerable to arbitrary file uploa
04:01 KSA
The Hustle – Email Marketing, Lead Generation, Optins, Popups plugin for WordPress is vulnerable to arbitrary file uploads due to incorrect file type validation in the action_import_module() function in all versions up to, and including, 7.8.9.2. This makes it possible for authen…
CVE-2026-1018
Police Statistics Database System developed by Gotac has an Arbitrary File Read vulnerability, allowing Unauthenticated
04:01 KSA
Police Statistics Database System developed by Gotac has an Arbitrary File Read vulnerability, allowing Unauthenticated remote attacker to exploit Absolute Path Traversal to download arbitrary system files.
CVE-2026-1022
Statistics Database System developed by Gotac has an Arbitrary File Read vulnerability, allowing unauthenticated remote
04:01 KSA
Statistics Database System developed by Gotac has an Arbitrary File Read vulnerability, allowing unauthenticated remote attackers to exploit Relative Path Traversal to download arbitrary system files.
CVE-2026-1023
Statistics Database System developed by Gotac has a Missing Authentication vulnerability, allowing unauthenticated remot
04:01 KSA
Statistics Database System developed by Gotac has a Missing Authentication vulnerability, allowing unauthenticated remote attackers to directly exploit a specific functionality to query database contents.
CVE-2026-1233
The Text to Speech for WP (AI Voices by Mementor) plugin for WordPress is vulnerable to sensitive information exposure i
15:48 KSA
The Text to Speech for WP (AI Voices by Mementor) plugin for WordPress is vulnerable to sensitive information exposure in all versions up to, and including, 1.9.8. This is due to the plugin containing hardcoded MySQL database credentials for the vendor's external telemetry server…
CVE-2026-1257
ثغرة Local File Inclusion في إضافة Administrative Shortcodes لـ WordPress عبر اختصار get_template
04:01 KSA
تحتوي إضافة Administrative Shortcodes لـ WordPress على ثغرة في التحقق من صحة المسارات في اختصار get_template تسمح للمهاجمين المصرحين بمستوى المساهم بتضمين وتنفيذ ملفات عشوائية. يمكن استخدام هذه الثغرة لتنفيذ أكواد PHP وتجاوز عناصر التحكم في الوصول والوصول إلى البيانات الحساسة.
CVE-2026-1280
The Frontend File Manager Plugin for WordPress is vulnerable to unauthorized file sharing due to a missing capability ch
04:01 KSA
The Frontend File Manager Plugin for WordPress is vulnerable to unauthorized file sharing due to a missing capability check on the 'wpfm_send_file_in_email' AJAX action in all versions up to, and including, 23.5. This makes it possible for unauthenticated attackers to share arbit…
CVE-2026-1330
MeetingHub developed by HAMASTAR Technology has an Arbitrary File Read vulnerability, allowing unauthenticated remote at
04:01 KSA
MeetingHub developed by HAMASTAR Technology has an Arbitrary File Read vulnerability, allowing unauthenticated remote attackers to exploit Absolute Path Traversal to download arbitrary system files.
CVE-2026-1472
An out-of-band SQL injection vulnerability (OOB SQLi) has been detected in the Performance Evaluation (EDD) application
04:01 KSA
An out-of-band SQL injection vulnerability (OOB SQLi) has been detected in the Performance Evaluation (EDD) application developed by Gabinete Técnico de Programación. Exploiting this vulnerability in the parameter 'txAny' in '/evaluacion_competencias_autoeval_list.aspx', could al…
CVE-2026-1473
An out-of-band SQL injection vulnerability (OOB SQLi) has been detected in the Performance Evaluation (EDD) application
04:01 KSA
An out-of-band SQL injection vulnerability (OOB SQLi) has been detected in the Performance Evaluation (EDD) application developed by Gabinete Técnico de Programación. Exploiting this vulnerability in the parameter 'Id_usuario’ in '/evaluacion_competencias_evalua.aspx', could allo…
CVE-2026-1474
An out-of-band SQL injection vulnerability (OOB SQLi) has been detected in the Performance Evaluation (EDD) application
04:01 KSA
An out-of-band SQL injection vulnerability (OOB SQLi) has been detected in the Performance Evaluation (EDD) application developed by Gabinete Técnico de Programación. Exploiting this vulnerability in the parameter 'Id_usuario' and 'Id_evaluacion' en ‘/evaluacion_inicio.aspx’, cou…
CVE-2026-1475
An out-of-band SQL injection vulnerability (OOB SQLi) has been detected in the Performance Evaluation (EDD) application
04:01 KSA
An out-of-band SQL injection vulnerability (OOB SQLi) has been detected in the Performance Evaluation (EDD) application developed by Gabinete Técnico de Programación. Exploiting this vulnerability in the parameter ‘Id_usuario' in ‘/evaluacion_acciones_evalua.aspx’, could allow an…
CVE-2026-1476
An out-of-band SQL injection vulnerability (OOB SQLi) has been detected in the Performance Evaluation (EDD) application
04:01 KSA
An out-of-band SQL injection vulnerability (OOB SQLi) has been detected in the Performance Evaluation (EDD) application developed by Gabinete Técnico de Programación. Exploiting this vulnerability in the parameter 'Id_usuario' in ‘/evaluacion_acciones_ver_auto.aspx’, could allow …
CVE-2026-1479
An out-of-band SQL injection vulnerability (OOB SQLi) has been detected in the Performance Evaluation (EDD) application
04:01 KSA
An out-of-band SQL injection vulnerability (OOB SQLi) has been detected in the Performance Evaluation (EDD) application developed by Gabinete Técnico de Programación. Exploiting this vulnerability in the parameters 'Id_usuario' and 'Id_evaluacion’ in ‘/evaluacion_hca_ver_auto.asp…
CVE-2026-1481
An out-of-band SQL injection vulnerability (OOB SQLi) has been detected in the Performance Evaluation (EDD) application
04:01 KSA
An out-of-band SQL injection vulnerability (OOB SQLi) has been detected in the Performance Evaluation (EDD) application developed by Gabinete Técnico de Programación. Exploiting this vulnerability in the parameter 'Id_usuario' in '/evaluacion_objetivos_anyo_sig_ver_auto.aspx', co…
CVE-2026-1482
An out-of-band SQL injection vulnerability (OOB SQLi) has been detected in the Performance Evaluation (EDD) application
04:01 KSA
An out-of-band SQL injection vulnerability (OOB SQLi) has been detected in the Performance Evaluation (EDD) application developed by Gabinete Técnico de Programación. Exploiting this vulnerability in the parameter 'Id_evaluacion' in '/evaluacion_objetivos_evalua_definido.aspx', c…
CVE-2026-1483
An out-of-band SQL injection vulnerability (OOB SQLi) has been detected in the Performance Evaluation (EDD) application
04:01 KSA
An out-of-band SQL injection vulnerability (OOB SQLi) has been detected in the Performance Evaluation (EDD) application developed by Gabinete Técnico de Programación. Exploiting this vulnerability in the parameter 'Id_usuario' in '/evaluacion_objetivos_ver_auto.aspx', could allow…
CVE-2026-1584
A flaw was found in gnutls. A remote, unauthenticated attacker can exploit this vulnerability by sending a specially cra
18:38 KSA
A flaw was found in gnutls. A remote, unauthenticated attacker can exploit this vulnerability by sending a specially crafted ClientHello message with an invalid Pre-Shared Key (PSK) binder value during the TLS handshake. This can lead to a NULL pointer dereference, causing the se…
CVE-2026-1669
Arbitrary file read in the model loading mechanism (HDF5 integration) in Keras versions 3.0.0 through 3.13.1 on all supp
04:01 KSA
Arbitrary file read in the model loading mechanism (HDF5 integration) in Keras versions 3.0.0 through 3.13.1 on all supported platforms allows a remote attacker to read local files and disclose sensitive information via a crafted .keras model file utilizing HDF5 external dataset …
CVE-2026-20119
A vulnerability in the text rendering subsystem of Cisco TelePresence Collaboration Endpoint (CE) Software and Cisco Roo
04:01 KSA
A vulnerability in the text rendering subsystem of Cisco TelePresence Collaboration Endpoint (CE) Software and Cisco RoomOS Software could allow an unauthenticated, remote attacker to cause a denial of service (DoS) condition on an affected device.
This vulnerability is due to…
CVE-2026-20401
In Modem, there is a possible system crash due to an uncaught exception. This could lead to remote denial of service, if
04:01 KSA
In Modem, there is a possible system crash due to an uncaught exception. This could lead to remote denial of service, if a UE has connected to a rogue base station controlled by the attacker, with no additional execution privileges needed. User interaction is not needed for explo…
CVE-2026-2093
Docpedia developed by Flowring has a SQL Injection vulnerability, allowing unauthenticated remote attackers to inject ar
04:01 KSA
Docpedia developed by Flowring has a SQL Injection vulnerability, allowing unauthenticated remote attackers to inject arbitrary SQL commands to read database contents.
CVE-2026-20965
Improper verification of cryptographic signature in Windows Admin Center allows an authorized attacker to elevate privil
04:01 KSA
Improper verification of cryptographic signature in Windows Admin Center allows an authorized attacker to elevate privileges locally.
CVE-2026-21218
Improper handling of missing special element in .NET allows an unauthorized attacker to perform spoofing over a network.
04:01 KSA
Improper handling of missing special element in .NET allows an unauthorized attacker to perform spoofing over a network.
CVE-2026-21226
Deserialization of untrusted data in Azure Core shared client library for Python allows an authorized attacker to execut
04:01 KSA
Deserialization of untrusted data in Azure Core shared client library for Python allows an authorized attacker to execute code over a network.
CVE-2026-21428
cpp-httplib is a C++11 single-file header-only cross platform HTTP/HTTPS library. Prior to version 0.30.0, the ``write_h
04:01 KSA
cpp-httplib is a C++11 single-file header-only cross platform HTTP/HTTPS library. Prior to version 0.30.0, the ``write_headers`` function does not check for CR & LF characters in user supplied headers, allowing untrusted header value to escape header lines.
This vulnerability all…
CVE-2026-21520
Exposure of Sensitive Information to an Unauthorized Actor in Copilot Studio allows a unauthenticated attacker to view s
04:01 KSA
Exposure of Sensitive Information to an Unauthorized Actor in Copilot Studio allows a unauthenticated attacker to view sensitive information through network attack vector
CVE-2026-21626
Access control settings for forum post custom fields are not applied to the JSON output type, leading to an ACL violatio
04:01 KSA
Access control settings for forum post custom fields are not applied to the JSON output type, leading to an ACL violation vector an information disclosure
CVE-2026-21637
A flaw in Node.js TLS error handling allows remote attackers to crash or exhaust resources of a TLS server when `pskCall
04:01 KSA
A flaw in Node.js TLS error handling allows remote attackers to crash or exhaust resources of a TLS server when `pskCallback` or `ALPNCallback` are in use. Synchronous exceptions thrown during these callbacks bypass standard TLS error handling paths (tlsClientError and error), ca…
CVE-2026-21852
Claude Code is an agentic coding tool. Prior to version 2.0.65, vulnerability in Claude Code's project-load flow allowed
04:01 KSA
Claude Code is an agentic coding tool. Prior to version 2.0.65, vulnerability in Claude Code's project-load flow allowed malicious repositories to exfiltrate data including Anthropic API keys before users confirmed trust. An attacker-controlled repository could include a settings…
CVE-2026-21862
RustFS is a distributed object storage system built in Rust. Prior to version alpha.78, IP-based access control can be b
04:01 KSA
RustFS is a distributed object storage system built in Rust. Prior to version alpha.78, IP-based access control can be bypassed: get_condition_values trusts client-supplied X-Forwarded-For/X-Real-Ip without verifying a trusted proxy, so any reachable client can spoof aws:SourceIp…
CVE-2026-21889
Weblate is a web based localization tool. Prior to 5.15.2, the screenshot images were served directly by the HTTP server
04:01 KSA
Weblate is a web based localization tool. Prior to 5.15.2, the screenshot images were served directly by the HTTP server without proper access control. This could allow an unauthenticated user to access screenshots after guessing their filename. This vulnerability is fixed in 5.1…
CVE-2026-21905
A Loop with Unreachable Exit Condition ('Infinite Loop') vulnerability in the SIP application layer gateway (ALG) of Jun
04:01 KSA
A Loop with Unreachable Exit Condition ('Infinite Loop') vulnerability in the SIP application layer gateway (ALG) of Juniper Networks Junos OS on SRX Series and MX Series with MX-SPC3 or MS-MPC allows an unauthenticated network-based attacker sending specific SIP messages over TC…
CVE-2026-21906
An Improper Handling of Exceptional Conditions vulnerability in the packet forwarding engine (PFE) of Juniper Networks J
04:01 KSA
An Improper Handling of Exceptional Conditions vulnerability in the packet forwarding engine (PFE) of Juniper Networks Junos OS on SRX Series allows an unauthenticated network-based attacker sending a specific ICMP packet through a GRE tunnel to cause the PFE to crash and restart…
CVE-2026-21913
An Incorrect Initialization of Resource vulnerability in the Internal Device Manager (IDM) of Juniper Networks Junos OS
04:01 KSA
An Incorrect Initialization of Resource vulnerability in the Internal Device Manager (IDM) of Juniper Networks Junos OS on EX4000 models allows an unauthenticated, network-based attacker to cause a Denial-of-Service (DoS).
On EX4000 models with 48 ports (EX4000-48T, EX4000-48P, …
CVE-2026-21914
An Improper Locking vulnerability in the GTP plugin of Juniper Networks Junos OS on SRX Series allows an unauthenticated
04:01 KSA
An Improper Locking vulnerability in the GTP plugin of Juniper Networks Junos OS on SRX Series allows an unauthenticated, network-based attacker to cause a Denial-of-Service (Dos).
If an SRX Series device receives a specifically malformed GPRS Tunnelling Protocol (GTP) Modify Be…
CVE-2026-21917
An Improper Validation of Syntactic Correctness of Input vulnerability in the Web-Filtering module of Juniper Networks J
04:01 KSA
An Improper Validation of Syntactic Correctness of Input vulnerability in the Web-Filtering module of Juniper Networks Junos OS on SRX Series allows an unauthenticated, network-based attacker to cause a Denial-of-Service (DoS).
If an SRX device configured for UTM Web-Filtering r…
CVE-2026-21918
A Double Free vulnerability in the flow processing daemon (flowd) of Juniper Networks Junos OS on SRX and MX Series allo
04:01 KSA
A Double Free vulnerability in the flow processing daemon (flowd) of Juniper Networks Junos OS on SRX and MX Series allows an unauthenticated, network-based attacker to cause a Denial-of-Service (DoS). On all SRX and MX Series platforms, when during TCP session establishment a sp…
تحتوي إضافة Ninja Forms للووردبريس على ثغرة في معالجة علامات الدمج التي تسمح بكشف بيانات وصفية للمنشورات دون تحقق من الصلاحيات. يمكن للمهاجمين غير المصرحين استخراج معلومات حساسة مثل بيانات الفواتير والمفاتيح والرموز والبيانات الشخصية للعملاء من خلال إجراء AJAX.
تحتوي مكتبة cpp-httplib على ثغرة في معالجة أجسام الطلبات المضغوطة حيث يتم التحقق من حد الحمولة فقط على البيانات المضغوطة المستقبلة من الشبكة. لا يتم فرض أي حد على حجم البيانات المفكوكة الضغط المخزنة في الذاكرة، مما يسمح بهجمات حجب الخدمة. يمكن للمهاجمين إرسال حمولات مضغوطة صغيرة …
تعرض RustFS أسرار HMAC المشتركة في سجلات الخادم عند معالجة توقيعات RPC غير الصحيحة من الإصدارات 1.0.0-alpha.1 إلى 1.0.0-alpha.79. يمكن لأي شخص لديه إمكانية الوصول إلى السجلات استخراج المفاتيح السرية واستخدامها لتزوير استدعاءات RPC مصرح بها. تم إصلاح المشكلة في الإصدار 1.0.0-alpha…
تؤثر هذه الثغرة على تطبيقات الويب المبنية على SvelteKit التي تستخدم دالة النموذج البعيد التجريبية. يمكن لمهاجم إرسال حمولة مصممة بعناية تسبب تخصيص ذاكرة كبير على الخادم، مما يؤدي إلى حجب الخدمة. التأثير محدود بالتطبيقات التي تستخدم هذه الميزة التجريبية بشكل نشط.
يحتوي go-ethereum على ثغرة في معالجة المدخلات (CWE-20) تسمح برسائل مصنعة بشكل خاص بإجبار عقد Ethereum على الإيقاف أو التعطل. يتم إصلاح هذه الثغرة في الإصدار 1.16.8 وما بعده.
ثغرة مرجع كائن مباشر غير آمن (IDOR) في WeKan تسمح للمهاجمين بالوصول إلى قوائم التحقق والتلاعب بها عبر لوحات مختلفة من خلال تعديل معرفات البطاقات. الثغرة تنشأ من عدم التحقق من أن معرف البطاقة المرسل ينتمي فعلاً إلى لوحة معينة قبل معالجة الطلب.
تحتوي نقطة نهاية propose_edits في NavigaTUM على ثغرة اجتياز مسار تسمح للمهاجمين غير المصرح لهم بالكتابة فوق الملفات في الدلائل القابلة للكتابة من قبل التطبيق. يمكن للمهاجمين استبدال الصور العامة أو استنزاف تخزين الخادم من خلال حقول مفاتيح الملفات غير المعقمة.
يسمح موصل MCP Salesforce في الإصدارات السابقة للإصدار 0.1.10 بالوصول التعسفي إلى السمات مما يؤدي إلى كشف رموز المصادقة الخاصة بـ Salesforce. يمكن للمهاجمين استخدام هذه الرموز المكشوفة للوصول غير المصرح به إلى أنظمة Salesforce والبيانات الحساسة للعمل. تم إصلاح هذا الثغرة الأمنية ف…
يفشل Claude Code في الإصدارات السابقة للإصدار 2.1.7 في فرض قواعد الحظر المكونة في settings.json عند الوصول إلى الملفات عبر الروابط الرمزية. يمكن للمستخدمين أو المهاجمين قراءة الملفات المقيدة صراحة مثل /etc/passwd من خلال استغلال الروابط الرمزية دون تفعيل آليات الحماية. تم إصلاح ه…
ثغرة تسابق زمني (TOCTOU) في ClipBucket v5 تؤثر على وظيفة تحميل صور الملف الشخصي والخلفية. يقوم التطبيق بنقل الملفات المرفوعة إلى مواقع يمكن الوصول إليها عبر الويب قبل التحقق من صحتها، مما يسمح للمهاجمين بتنفيذ كود PHP عشوائي خلال نافذة زمنية ضيقة.
CVE-2026-27141
Due to missing nil check, sending 0x0a-0x0f HTTP/2 frames will cause a running server to panic
05:22 KSA
Due to missing nil check, sending 0x0a-0x0f HTTP/2 frames will cause a running server to panic
CVE-2026-27282
ColdFusion versions 2023.18, 2025.6 and earlier are affected by an Improper Input Validation vulnerability that could re
05:48 KSA
ColdFusion versions 2023.18, 2025.6 and earlier are affected by an Improper Input Validation vulnerability that could result in a Security feature bypass. An attacker could leverage this vulnerability to bypass security measures and gain unauthorized access. Exploitation of this …
CVE-2026-27449
Umbraco Engage is a business intelligence platform. A vulnerability has been identified in Umbraco Engage prior to versi
05:22 KSA
Umbraco Engage is a business intelligence platform. A vulnerability has been identified in Umbraco Engage prior to versions 16.2.1 and 17.1.1 where certain API endpoints are exposed without enforcing authentication or authorization checks. The affected endpoints can be accessed d…
CVE-2026-27489
Open Neural Network Exchange (ONNX) is an open standard for machine learning interoperability. Prior to version 1.21.0,
04:00 KSA
Open Neural Network Exchange (ONNX) is an open standard for machine learning interoperability. Prior to version 1.21.0, a path traversal vulnerability via symlink allows to read arbitrary files outside model or user-provided directory. This issue has been patched in version 1.21.…
CVE-2026-27651
When the ngx_mail_auth_http_module module is enabled on NGINX Plus or NGINX Open Source, undisclosed requests can cause
18:01 KSA
When the ngx_mail_auth_http_module module is enabled on NGINX Plus or NGINX Open Source, undisclosed requests can cause worker processes to terminate. This issue may occur when (1) CRAM-MD5 or APOP authentication is enabled, and (2) the authentication server permits retry by retu…
CVE-2026-27664
A vulnerability has been identified in CPCI85 Central Processing/Communication (All versions < V26.10), SICORE Base syst
03:24 KSA
A vulnerability has been identified in CPCI85 Central Processing/Communication (All versions < V26.10), SICORE Base system (All versions < V26.10.0). The affected application contains an out-of-bounds write vulnerability while parsing specially crafted XML inputs. This could allo…
ثغرة استخدام الذاكرة المحررة في EVerest تحدث عندما يفشل تهيئة ISO15118 (مثل عدم وجود عنوان IPv6 محلي للرابط) ولا يتم تنظيف مؤشر v2g_ctx بشكل صحيح. يمكن لمهاجم مع وصول MQTT إرسال أمر session_setup لتشغيل الثغرة وتعطيل عملية EVSE.
يحتوي phpMyFAQ على ثغرة أمنية في نقطة نهاية WebAuthn التحضيرية التي تسمح بإنشاء حسابات مستخدمين جديدة دون أي تحقق من الهوية أو حماية CSRF أو فحوصات التكوين. يمكن للمهاجمين استغلال هذه الثغرة لإنشاء عدد غير محدود من الحسابات حتى عندما يكون التسجيل معطلاً في التطبيق.
تحتوي جميع خوادم Misskey التي تعمل بالإصدارات من 8.45.0 إلى 2026.3.0 على ثغرة في فحوصات الأذونات والتحقق من المدخلات. تسمح هذه الثغرة للمهاجمين بالوصول إلى البيانات المقيدة بدون تفويض مناسب بغض النظر عن تفعيل الاتحاد. يمكن أن تؤدي هذه الثغرة إلى انتهاك بيانات كبير وتسرب معلومات ح…
تؤثر هذه الثغرة على جميع خوادم Misskey بغض النظر عن تفعيل الاتحاد، مما يسمح بتجاوز آليات التحقق من التوقيع الرقمي للطلبات. يمكن للمهاجمين استخدام هذا لتزوير الطلبات والتأثير على سلامة البيانات والخدمة.
يؤثر هذا الضعف على مكون إدارة الحراك (AMF) في Free5GC، وهو نظام 5G مفتوح المصدر. يمكن لمهاجم بعيد استغلال معالجة فشل المصادقة غير الكافية لاستنزاف موارد النظام. هذا يؤدي إلى حجب الخدمة للمستخدمين الشرعيين.
تسمح هذه الثغرة للمهاجمين بإرسال أنماط regex معقدة عبر اشتراكات LiveQuery تسبب تراجعاً كارثياً في محرك التعبيرات العادية. يؤدي هذا إلى حجب حلقة أحداث Node.js بالكامل، مما يجعل خادم Parse غير مستجيب لجميع العملاء. الهجوم يتطلب فقط بيانات اعتماد عامة متاحة في تطبيقات العميل.
يسمح هذا الضعف للمهاجمين غير المصرحين بإرسال طلبات إلى نقاط نهاية Cloud Function باستخدام أسماء خصائص النموذج الأولي مثل __proto__ أو constructor. يؤدي هذا إلى تكرار لا نهائي يسبب خطأ حجم مكدس الاستدعاء وتعطل العملية.
ثغرة حقن NoSQL في خادم Parse تسمح للمهاجمين غير المصرح لهم بحقن عوامل استعلام MongoDB عبر حقل الرمز في نقاط نهاية إعادة تعيين كلمة المرور والتحقق من البريد الإلكتروني. يمكن استخدام هذه الثغرة لاستخراج رموز التحقق من البريد الإلكتروني وإعادة تعيين كلمة المرور دون الحاجة إلى الوصول…
يحتوي مكون Download Monitor للـ WordPress على ثغرة مرجع كائن مباشر غير آمن (IDOR) في دالة executePayment() تسمح للمهاجمين غير المصرح لهم بإكمال طلبات عشوائية. يمكن للمهاجمين استغلال عدم تطابق رموز PayPal لسرقة السلع الرقمية ذات القيمة العالية بدفع مبالغ ضئيلة.
تحتوي ثغرة CVE-2026-31831 على نقطة ضعف في اجتياز المسار في واجهة برمجة تطبيقات Tautulli التي تسمح بالوصول غير المصرح به إلى الملفات الحساسة على الخادم. يمكن للمهاجمين استغلال هذه الثغرة للوصول إلى بيانات حساسة مثل ملفات الإعدادات وملفات قاعدة البيانات وبيانات اعتماد المستخدم. يعت…
تحتوي نسخ NanoMQ السابقة للإصدار 0.24.11 على ثغرة تجاوز ذاكرة heap في واجهة REST API بسبب خطأ off-by-one في تخصيص الذاكرة لمفاتيح وقيم معاملات الاستعلام. يمكن للمهاجمين البعيدين تفعيل هذه الثغرة عبر طلبات HTTP مصنوعة بعناية تحتوي على معاملات استعلام خاصة.
تؤثر هذه الثغرة على تطبيقات .NET التي تفشل في معالجة العناصر الخاصة بشكل صحيح، مما يسمح بهجمات انتحال الهوية عبر الشبكة. يمكن للمهاجمين استغلال هذا الضعف لانتحال هوية الخدمات الشرعية أو المستخدمين.
تتعلق هذه الثغرة بمعالجة غير صحيحة للمدخلات في .NET و Visual Studio مما يسمح بتجاوز المخزن المؤقت القائم على المكدس. يمكن للمهاجمين استغلال هذه الثغرة عن بعد لإرسال بيانات مصنوعة بعناية تسبب انهيار التطبيق وحرمان الخدمة.
تحتوي نسخ Squid السابقة للإصدار 7.5 على ثغرات استخدام الذاكرة بعد التحرير وتحرير الموارد المبكر في معالجة حركة بروتوكول ICP. يمكن لمهاجم بعيد تنفيذ هجمات موثوقة وقابلة للتكرار للحرمان من الخدمة ضد خدمة Squid. هذه الثغرة تؤثر فقط على النشرات التي تفعل دعم ICP بشكل صريح.
تحتوي ثغرة CVE-2026-32846 على عيب في التحقق من صحة المسار يسمح للمهاجمين باستخدام أسماء ملفات عارية وتقنيات اجتياز المسار للوصول إلى ملفات حساسة خارج نطاق التطبيق المقصود. يمكن للمهاجمين الوصول إلى ملفات النظام وملفات البيئة ومفاتيح SSH والبيانات الحساسة الأخرى. الإصلاح متاح في ا…
تحتوي LibVNCServer على ثغرات إلغاء مؤشر فارغ في معالجات وكيل HTTP بسبب عدم التحقق من قيم إرجاع دالة strchr(). يمكن للمهاجمين البعيدين إرسال طلبات HTTP معدة خصيصاً لإحداث تعطل الخادم ورفض الخدمة. تؤثر الثغرة على الأنظمة التي تستخدم الإصدارات الضعيفة مع تفعيل ميزات httpd والوكيل.
تحتوي طريقة Xml::value() في Kirby على معالجة خاصة لكتل CDATA التي تسمح بمرور القيم الصحيحة دون الهروب الثاني. قبل الإصدارات 4.9.0 و 5.4.0، كان من الممكن خداع هذا الفحص للسماح بقيم تحتوي على كتلة CDATA صحيحة بالإضافة إلى بيانات منظمة أخرى خارج كتلة CDATA. هذا يسمح بحقن محتوى XML ض…
تتعلق هذه الثغرة بحقن SQL العمياء في نقطة نهاية userinfo التي لا تتطلب مصادقة مسبقة. يمكن للمهاجمين استخراج بيانات حساسة من قاعدة البيانات من خلال التلاعب بالاستعلامات. الثغرة تؤثر على سرية البيانات بشكل كامل.
تقرأ نسخ OpenClaw المتأثرة أجسام طلبات Telegram webhook وتخزنها مؤقتاً قبل التحقق من رأس x-telegram-bot-api-secret-token، مما يسمح للمهاجمين غير المصرح لهم باستنزاف موارد الخادم. يمكن للمهاجمين إرسال طلبات POST متعددة لفرض استهلاك الذاكرة والمقابس ومعالجة JSON قبل حدوث التحقق من …
يحتوي OpenClaw على ثغرة كشف معلومات في دالة fetchRemoteMedia حيث يتم تضمين عناوين URL ملفات Telegram الأصلية التي تحتوي على رموز البوت في سلاسل MediaFetchError. يؤدي هذا إلى تسرب بيانات اعتماد المصادقة الحساسة إلى السجلات وواجهات معالجة الأخطاء حيث يمكن للمهاجمين الوصول إليها بسه…
تحتوي هذه الثغرة على عيب في معالجة الملفات المؤقتة حيث لا يتم تثبيت التحقق من المجلد الأب بشكل صحيح أثناء عملية الكتابة المرحلية. يمكن للمهاجمين استغلال حالة تسابق في تغييرات مسار المجلد الأب لكتابة بيانات يتحكمون فيها خارج المسار المتحقق منه قبل تنفيذ خطوة الاستبدال المحمية.
CVE-2026-33028
ثغرة تنافس في Nginx UI في مزامنة الملفات تؤدي إلى رفض الخدمة وتنفيذ أوامر بعيدة
21:26 KSA
يؤثر هذا الضعف على Nginx UI بسبب غياب كامل لآليات المزامنة والكتابة الذرية للملفات. يمكن للمهاجمين استغلال الطلبات المتزامنة لإفساد ملف التكوين الرئيسي، مما يؤدي إلى رفض الخدمة المستمر وإمكانية تنفيذ أوامر بعيدة.
تحتوي نسخ Roxy-WI السابقة للإصدار 8.2.6.4 على ثغرة قراءة ملفات تعسفية في معامل oldconfig بواسطة واجهة haproxy_section_save. تسمح هذه الثغرة للمهاجمين بقراءة ملفات حساسة من النظام بما في ذلك ملفات الإعدادات والمفاتيح الخاصة. يؤثر هذا على المؤسسات التي تدير خوادم HAProxy و Nginx و …
تؤثر هذه الثغرة على تطبيقات Rails التي تستخدم وضع التسليم الوكيل في Active Storage. يمكن للمهاجمين استنزاف ذاكرة الخادم من خلال إرسال طلبات بنطاقات بايت كبيرة أو غير محدودة. قد يؤدي هذا إلى توقف الخدمة وعدم توفر التطبيق.
CVE-2026-33176
Active Support is a toolkit of support libraries and Ruby core extensions extracted from the Rails framework. Prior to v
11:22 KSA
Active Support is a toolkit of support libraries and Ruby core extensions extracted from the Rails framework. Prior to versions 8.1.2.1, 8.0.4.1, and 7.2.3.1, Active Support number helpers accept strings containing scientific notation (e.g. `1e10000`), which `BigDecimal` expands …
CVE-2026-33182
Saloon is a PHP library that gives users tools to build API integrations and SDKs. Prior to version 4.0.0, when building
03:24 KSA
Saloon is a PHP library that gives users tools to build API integrations and SDKs. Prior to version 4.0.0, when building the request URL, Saloon combined the connector's base URL with the request endpoint. If the endpoint was a valid absolute URL, the code used that URL as-is and…
CVE-2026-3323
An unsecured configuration interface on affected devices allows unauthenticated remote attackers to access sensitive inf
12:32 KSA
An unsecured configuration interface on affected devices allows unauthenticated remote attackers to access sensitive information, including hashed credentials and access codes.
يؤثر هذا الثغر على إطار عمل Salvo للويب المكتوب بلغة Rust حيث لا تفرض طرق معالجة بيانات النماذج حدوداً على حجم الحمولة قبل قراءة أجسام الطلبات في الذاكرة. يمكن للمهاجمين استغلال هذا الضعف بإرسال حمولات كبيرة جداً لإثارة حالات نقص الذاكرة وتعطيل الخدمة.
يحتوي تطبيق JRuby لـ bcrypt-ruby على خلل تجاوز عدد صحيح موقّع يحول عدد التكرارات إلى قيمة سالبة عند استخدام cost=31، مما يؤدي إلى تخطي حلقة التقوية بالكامل. تبدو بصمات كلمات المرور الناتجة صحيحة وتتحقق بشكل صحيح، لكنها توفر حماية ضعيفة جداً ضد هجمات كسر كلمات المرور.
تحتوي دوال app.add_media_file() و app.add_media_files() في NiceGUI على ثغرة حيث يتم تمرير معاملات الاستعلام التي يتحكم بها المستخدم إلى تطبيق استجابة النطاق دون التحقق من صحتها. يمكن للمهاجمين استغلال هذه الثغرة لفرض تحميل ملفات الوسائط الكبيرة بالكامل في الذاكرة بدلاً من البث ال…
تحتوي نسخ Langflow السابقة للإصدار 1.7.1 على ثغرة اجتياز مسار في نقطة نهاية تحميل صور الملف الشخصي. يسمح الفشل في التحقق من صحة معاملات folder_name و file_name بقراءة الملفات الحساسة بما في ذلك مفاتيح الأسرار عبر الدلائل. يمكن للمهاجمين الوصول إلى البيانات السرية والمفاتيح المشفر…
CVE-2026-33498
هجوم حرمان الخدمة غير المصرح به على Parse Server عبر عوامل منطقية استعلام متداخلة
23:54 KSA
يسمح هذا الضعف للمهاجمين غير المصرح لهم بإرسال طلبات HTTP تحتوي على استعلامات متداخلة بعمق شديد مع عوامل منطقية لتعليق عملية خادم Parse بشكل دائم. يصبح الخادم غير مستجيب تماماً ويتطلب إعادة تشغيل يدوية للاستعادة. هذا يمثل تجاوزاً للإصلاح السابق الذي تم تطبيقه لـ CVE-2026-32944.
يفشل مكون LiveQuery في Parse Server في فرض حدود عمق الاستعلام على طلبات الاشتراك عبر WebSocket، مما يسمح للمهاجمين بإرسال عوامل منطقية متداخلة بعمق يسبب استهلاك CPU مفرط. يؤثر هذا على الإصدارات السابقة للإصدار 8.6.56 و9.6.0-alpha.45.
تحتوي نقطة نهاية API set_config_value() في pyLoad على فجوة في التحقق من الصلاحيات تسمح لمستخدمي SETTINGS بتعديل أي خيار تكوين باستثناء general.storage_folder. يمكن لمهاجم استخدام هذا لتعيين خيار reconnect.script إلى ملف تنفيذي تعسفي، مما يؤدي إلى تنفيذ أوامر بعيدة عند تشغيل منطق …
CVE-2026-33526
ثغرة الحرمان من الخدمة في معالجة حركة ICP بسبب استخدام الذاكرة بعد التحرير في Squid
03:24 KSA
تحتوي نسخ Squid السابقة للإصدار 7.5 على ثغرة استخدام الذاكرة بعد التحرير (Use-After-Free) في معالجة حركة بروتوكول ICP. يمكن للمهاجمين البعيدين استغلال هذه الثغرة لتنفيذ هجمات حرمان من الخدمة موثوقة وقابلة للتكرار ضد خدمة Squid. هذا الهجوم محصور على نشرات Squid التي تفعّل دعم ICP …
يسمح هذا الثغر للمهاجمين غير المصرح لهم بإرسال طلبات مصادقة بأسماء موفرين غير مكونة، مما يؤدي إلى تنفيذ استعلامات قاعدة بيانات مكلفة بدون فهارس. يمكن توازي هذه الطلبات لاستنزاف موارد قاعدة البيانات وإيقاف الخدمة عن العمل.
ثغرة Insecure Direct Object Reference في دالة pay_incomplete_order() بمكون Tutor LMS تسمح للمهاجمين غير المصرح لهم بتعديل بيانات الفواتير لأي مستخدم لديه طلب يدوي غير مكتمل. يستغل المهاجمون nonces المكشوفة على صفحات الويب العامة وعدم وجود فحوصات التفويض لتجاوز الحماية.
تسمح هذه الثغرة للمهاجمين غير المصرح لهم بتنفيذ أوامر SQL تعسفية عبر نقطة النهاية getinfo. يمكن استغلال الثغرة لاستخراج جميع البيانات الحساسة من قاعدة البيانات بما في ذلك بيانات المستخدمين والمعلومات السرية. تؤثر الثغرة على السرية بشكل كامل دون الحاجة إلى بيانات اعتماد المصادقة.
تسمح هذه الثغرة للمهاجمين بتنفيذ استعلامات SQL تعسفية ضد قاعدة البيانات دون الحاجة إلى بيانات اعتماد صحيحة. يمكن استخدام تقنيات الحقن العمياء لاستخراج البيانات الحساسة بشكل تدريجي من خلال تحليل استجابات التطبيق.
ثغرة في مكتبة pypdf الحرة مفتوحة المصدر تسمح للمهاجمين بإنشاء ملفات PDF خاصة تسبب حلقات لا نهائية عند معالجتها في الوضع غير الصارم. هذه الثغرة تؤدي إلى هجوم رفض الخدمة (DoS) يمكن أن يعطل التطبيقات التي تعتمد على معالجة ملفات PDF. تم إصلاح هذه المشكلة في الإصدار 6.9.2 من pypdf.
ثغرة في التحقق من صحة الإدخال في مكتبة IPsec المستخدمة في عمليات kmd و iked في أجهزة Juniper SRX و MX Series. يمكن لمهاجم غير مصرح له على الشبكة إرسال حزمة ISAKMP معيبة لإحداث انهيار العملية ومنع إنشاء اتصالات VPN جديدة. الاستغلال المتكرر يؤدي إلى فقدان كامل لوظيفة VPN.
CVE-2026-33790
An Improper Check for Unusual or Exceptional Conditions vulnerability in the flow daemon (flowd) of Juniper Networks Jun
21:26 KSA
An Improper Check for Unusual or Exceptional Conditions vulnerability in the flow daemon (flowd) of Juniper Networks Junos OS on SRX Series allows an attacker sending a specific, malformed ICMPv6 packet to cause the srxpfe process to crash and restart. Continued receipt and proce…
CVE-2026-33867
WWBN AVideo is an open source video platform. In versions up to and including 26.0, AVideo allows content owners to pass
03:24 KSA
WWBN AVideo is an open source video platform. In versions up to and including 26.0, AVideo allows content owners to password-protect individual videos. The video password is stored in the database in plaintext — no hashing, salting, or encryption is applied. If an attacker gains …
CVE-2026-33871
Netty is an asynchronous, event-driven network application framework. In versions prior to 4.1.132.Final and 4.2.10.Fina
03:24 KSA
Netty is an asynchronous, event-driven network application framework. In versions prior to 4.1.132.Final and 4.2.10.Final, a remote user can trigger a Denial of Service (DoS) against a Netty HTTP/2 server by sending a flood of `CONTINUATION` frames. The server's lack of a limit o…
CVE-2026-33935
MyTube is a self-hosted downloader and player for several video websites Prior to version 1.8.72, an unauthenticated att
03:24 KSA
MyTube is a self-hosted downloader and player for several video websites Prior to version 1.8.72, an unauthenticated attacker can lock out administrator and visitor accounts from password-based authentication by triggering failed login attempts. The application exposes three pass…
CVE-2026-33951
Signal K Server is a server application that runs on a central hub in a boat. Prior to version 2.24.0-beta.1, the Signal
21:16 KSA
Signal K Server is a server application that runs on a central hub in a boat. Prior to version 2.24.0-beta.1, the SignalK Server exposes an unauthenticated HTTP endpoint that allows remote attackers to modify navigation data source priorities. This endpoint, accessible via PUT /s…
CVE-2026-3396
WCAPF – WooCommerce Ajax Product Filter plugin is vulnerable to time-based SQL Injection via the 'post-author' parameter
00:18 KSA
WCAPF – WooCommerce Ajax Product Filter plugin is vulnerable to time-based SQL Injection via the 'post-author' parameter in all versions up to, and including, 4.2.3 due to insufficient escaping on the user supplied parameter and lack of sufficient preparation on the existing SQL …
تؤثر هذه الثغرة على مكون الشبكات في Oracle Java SE وGraalVM Enterprise Edition، مما يسمح للمهاجمين غير المصرح لهم بالوصول عبر الشبكة باستغلال واجهات برمجية متعددة. يمكن للهجمات الناجحة أن تسبب توقف التطبيقات أو انهيارات متكررة كاملة.
هذه الثغرة في Oracle Identity Manager Connector تسمح للمهاجمين غير المصرح لهم بالوصول عبر الشبكة بسهولة لإحداث رفض الخدمة. يمكن للمهاجمين تكرار الهجمات لإجبار النظام على التعليق أو الانهيار بشكل متكرر. التأثير محصور على التوفر دون تأثر السرية أو النزاهة.
تؤثر هذه الثغرة على نظام Oracle HCM Common Architecture في إصدارات 12.2.3 إلى 12.2.15 وتسمح بالوصول غير المصرح به إلى بيانات الموارد البشرية الحساسة. يمكن للمهاجمين استغلال هذه الثغرة عبر HTTP دون الحاجة إلى بيانات اعتماد أو تفاعل المستخدم.
CVE-2026-34305
Vulnerability in the Oracle WebLogic Server product of Oracle Fusion Middleware (component: Web Services). Supported ve
08:45 KSA
Vulnerability in the Oracle WebLogic Server product of Oracle Fusion Middleware (component: Web Services). Supported versions that are affected are 12.2.1.4.0, 14.1.1.0.0, 14.1.2.0.0 and 15.1.1.0.0. Easily exploitable vulnerability allows unauthenticated attacker with network a…
CVE-2026-34310
Vulnerability in the Oracle Financial Services Analytical Applications Infrastructure product of Oracle Financial Servic
12:50 KSA
Vulnerability in the Oracle Financial Services Analytical Applications Infrastructure product of Oracle Financial Services Applications (component: Platform). Supported versions that are affected are 8.0.7.9, 8.0.8.7 and 8.1.2.5. Easily exploitable vulnerability allows unauthen…
CVE-2026-34320
Vulnerability in the Oracle Financial Services Customer Screening product of Oracle Financial Services Applications (com
12:50 KSA
Vulnerability in the Oracle Financial Services Customer Screening product of Oracle Financial Services Applications (component: User Interface). The supported version that is affected is 8.1.2.8.0. Easily exploitable vulnerability allows unauthenticated attacker with network ac…
ثغرة في مكون Core في Oracle VM VirtualBox 7.2.6 تسمح لمهاجم بصلاحيات عالية بالوصول المحلي إلى البنية التحتية بتجاوز آليات الحماية. يمكن للهجوم الناجح أن يؤدي إلى السيطرة الكاملة على المحاكي الافتراضي وتأثر الأنظمة الأخرى المستضافة عليه.
CVE-2026-35525
LiquidJS is a Shopify / GitHub Pages compatible template engine in pure JavaScript. Prior to 10.25.3, for {% include %},
00:18 KSA
LiquidJS is a Shopify / GitHub Pages compatible template engine in pure JavaScript. Prior to 10.25.3, for {% include %}, {% render %}, and {% layout %}, LiquidJS checks whether the candidate path is inside the configured partials or layouts roots before reading it. That check is …
CVE-2026-35650
OpenClaw before 2026.3.22 contains an environment variable override handling vulnerability that allows attackers to bypa
10:19 KSA
OpenClaw before 2026.3.22 contains an environment variable override handling vulnerability that allows attackers to bypass the shared host environment policy through inconsistent sanitization paths. Attackers can supply blocked or malformed override keys that slip through inconsi…
CVE-2026-3621
IBM WebSphere Application Server - Liberty 17.0.0.3 through 26.0.0.4 IBM WebSphere Application Server Liberty is vulnera
13:12 KSA
IBM WebSphere Application Server - Liberty 17.0.0.3 through 26.0.0.4 IBM WebSphere Application Server Liberty is vulnerable to identity spoofing under limited conditions when an application is deployed without authentication and authorization configured.
تؤثر هذه الثغرة على ربط Apache Thrift Node.js في الإصدارات السابقة للإصدار 0.23.0 وتسمح بهجمات رفض الخدمة من خلال استغلال التكرار غير المنضبط. يمكن للمهاجمين إرسال طلبات خاصة تسبب استهلاكاً مفرطاً للموارد وتعطل التطبيق.
CVE-2026-7234
A weakness has been identified in BrowserOperator browser-operator-core up to 0.6.0. Affected is the function startsWith
03:16 KSA
A weakness has been identified in BrowserOperator browser-operator-core up to 0.6.0. Affected is the function startsWith of the file scripts/component_server/server.js. Executing a manipulation of the argument request.url can lead to path traversal. The attack can be launched rem…
CVE-2026-7237
A vulnerability was detected in AgiFlow scaffold-mcp up to 1.0.27. Affected by this issue is some unknown functionality
09:48 KSA
A vulnerability was detected in AgiFlow scaffold-mcp up to 1.0.27. Affected by this issue is some unknown functionality of the file packages/scaffold-mcp/src/server/index.ts of the component write-to-file Tool. The manipulation of the argument file_path results in path traversal.…
CVE-2026-7272
A flaw has been found in WilliamCloudQi matlab-mcp-server up to ab88f6b9bf5f36f725e8628029f7f6dd0d9913ca. The affected e
15:54 KSA
A flaw has been found in WilliamCloudQi matlab-mcp-server up to ab88f6b9bf5f36f725e8628029f7f6dd0d9913ca. The affected element is the function generate_matlab_code/execute_matlab_code of the file src/index.ts of the component MCP Interface. Executing a manipulation of the argumen…
تؤثر هذه الثغرة على خدمة OAuth2 في yudao-cloud وتسمح بتجاوز آليات المصادقة من خلال التلاعب بدالة getAccessToken. يمكن للمهاجمين البعيدين استغلال هذه الثغرة للوصول غير المصرح إليه دون بيانات اعتماد صحيحة. تم الإفراج عن استغلال عام لهذه الثغرة مما يزيد من خطورتها.
ثغرة حقن SQL في نظام إدارة كفاءة الطاقة الميكروجريد Acrel ECEMS الإصدار 1.3.0 تؤثر على دالة غير معروفة في ملف /SubstationWEBV2/main/elecMaxMinAvgValue. يمكن للمهاجمين البعيدين استغلال معامل fCircuitids لتنفيذ استعلامات SQL عشوائية والوصول إلى قاعدة البيانات. الثغرة مكشوفة علناً و…
تم اكتشاف ثغرة حقن SQL في منصة Acrel Electrical EEMS Enterprise Power Operation and Maintenance Cloud Platform الإصدار 1.3.0. تؤثر الثغرة على وظيفة غير معروفة في الملف /SubstationWEBV2/main/elecMaxMinAvgValue حيث يمكن للمهاجمين التلاعب بمعامل fCircuitids لتنفيذ أوامر SQL عشوائية.…
تؤثر هذه الثغرة على منصة Tiandy Easy7 الإصدار 7.17.0 حيث يمكن لمهاجم بعيد تنفيذ أوامر نظام التشغيل عبر معامل week في وظيفة updateDbBackupInfo. الثغرة لم يتم إصلاحها من قبل البائع رغم التواصل المبكر معه.
CVE-2026-7703
A flaw has been found in AV Stumpfl Pixera Two Media Server up to 25.2 R2. Impacted is an unknown function of the compon
02:16 KSA
A flaw has been found in AV Stumpfl Pixera Two Media Server up to 25.2 R2. Impacted is an unknown function of the component Websocket API. This manipulation causes code injection. The attack can be initiated remotely. The exploit has been published and may be used. Upgrading to v…
ثغرة Stored XSS في مكون NEX-Forms للـ WordPress تسمح للمهاجمين غير المصرح لهم بحقن رموز JavaScript عشوائية عبر مفاتيح معاملات POST في دالة submit_nex_form(). يتم تخزين البرامج النصية الضارة وتنفيذها تلقائياً عند وصول أي مستخدم إلى الصفحة المصابة. تؤثر الثغرة على جميع الإصدارات حت…
CVE-2026-7247
A vulnerability has been found in D-Link DI-8100 16.07.26A1. Affected by this issue is the function file_exten_asp of th
09:48 KSA
A vulnerability has been found in D-Link DI-8100 16.07.26A1. Affected by this issue is the function file_exten_asp of the file file_exten.asp of the component File Extension Handler. The manipulation of the argument Name leads to buffer overflow. Remote exploitation of the attack…
CVE-2026-41379
OpenClaw before 2026.3.28 contains a privilege escalation vulnerability allowing authenticated operators with write perm
18:44 KSA
OpenClaw before 2026.3.28 contains a privilege escalation vulnerability allowing authenticated operators with write permissions to access admin-class Talk Voice configuration persistence. Attackers with operator.write privileges can exploit the chat.send endpoint to reach and mod…
CVE-2026-7681
تجاوز التفويض في واجهة برمجة تطبيقات COCO Annotator للمجموعات البيانية عبر معامل DatasetId
13:16 KSA
تؤثر هذه الثغرة على مكون واجهة برمجة تطبيقات المجموعات البيانية في COCO Annotator وتسمح بتجاوز آليات التفويض من خلال معالجة معامل DatasetId. يمكن للمهاجمين البعيدين استغلال هذه الثغرة للوصول إلى مجموعات بيانات غير مصرح لهم بالوصول إليها دون الحاجة إلى بيانات اعتماد صحيحة.
يوجد ثغرة حقن SQL في مكون UserController بملف UserController.java حيث يمكن للمهاجمين التلاعب بترتيب معاملات الدالة getUserList لتنفيذ استعلامات SQL عشوائية. الثغرة قابلة للاستغلال عن بعد وتم الكشف عنها علناً مع عدم استجابة البائع للإبلاغات الأمنية.
ثغرة حقن SQL في دالة getDataBySQL بملف GoViewDataServiceImpl.java في منتج YunaiV yudao-cloud تسمح بتنفيذ استعلامات SQL عشوائية عن بعد. الثغرة متوفرة بها استغلالات علنية والبائع لم يستجب لإشعارات الكشف المبكر. هذه الثغرة تؤثر على سلامة البيانات والخصوصية للمنظمات التي تستخدم هذا ا…
يوجد ثغرة حقن أوامر في جهاز التوجيه Edimax BR-6208AC الإصدار 1.02 في دالة setWAN بالملف /goform/setWAN. يمكن للمهاجمين البعيدين استغلال هذه الثغرة بدون مصادقة من خلال التلاعب بمعامل L2TPUserName لتنفيذ أوامر نظام تعسفية.
تحتوي أجهزة التوجيه Edimax BR-6428nC على ثغرة حقن أوامر في واجهة الويب تسمح بتنفيذ أوامر تعسفية عبر معاملات اسم المستخدم. يمكن استغلال هذه الثغرة عن بعد دون الحاجة إلى مصادقة، مما يعرض شبكات المنظمات السعودية للخطر.
ثغرة حقن الأوامر في langflow-ai تؤثر على الإصدارات حتى 1.8.4 وتسمح للمهاجمين بتنفيذ أوامر تعسفية عن بعد من خلال التلاعب بدالة معالجة الأكواد. تم الكشف عن الثغرة علنًا ولم يستجب البائع للإشعارات المبكرة، مما يجعلها عرضة للاستغلال الفوري.
تؤثر هذه الثغرة على أجهزة التوجيه Wavlink WL-WN570HA1 التي تعمل بإصدار البرنامج الثابت R70HA1 V1410_221110 وتسمح بحقن أوامر النظام عبر معامل اسم المستخدم. يمكن استغلال الثغرة عن بعد دون الحاجة إلى مصادقة، مما يسمح بتنفيذ أوامر تعسفية بامتيازات الجهاز.
تم اكتشاف ثغرة حقن أوامر في جهاز التوجيه Wavlink WL-WN570HA1 تسمح بتنفيذ أوامر تعسفية عن بعد. البرنامج الثابت المتأثر R70HA1 V1410_221110 لم يعد مدعوماً من قبل البائع وتم إزالته من موقع الويب الرسمي. الثغرة تؤثر فقط على المنتجات القديمة التي لا تتلقى تحديثات أمان.
تم اكتشاف ثغرة حقن أوامر في جهاز التوجيه Wavlink WL-WN570HA1 بإصدار البرنامج الثابت R70HA1 V1410_221110 من خلال معامل DDNS في ملف /cgi-bin/adm.cgi. يمكن للمهاجمين البعيدين استغلال هذه الثغرة لتنفيذ أوامر تعسفية على الجهاز. الإصدار المتأثر لم يعد مدعوماً من قبل المورد ولا توجد تحد…
تم اكتشاف ثغرة في منصة Acrel Electrical EEMS Enterprise Power Operation and Maintenance Cloud Platform الإصدار 1.3.0 تسمح بتحميل ملفات غير مقيدة عبر نقطة النهاية /SubstationWEBV2/main/uploadH5Files. يمكن للمهاجمين البعيدين استغلال هذه الثغرة لتحميل ملفات ضارة دون قيود، مما قد يؤد…
ثغرة حقن SQL في Dromara MaxKey تؤثر على الإصدارات حتى 3.5.13 من خلال معامل filtersfields في دالة StrUtils.checkSqlInjection. يمكن للمهاجمين البعيدين استغلال هذه الثغرة لتنفيذ أوامر SQL عشوائية والوصول إلى بيانات حساسة. الاستغلال متاح للجمهور والبائع لم يستجب لإشعارات الكشف المبكر…
ثغرة حقن أكواد في مكون LambdaFilterComponent بمكتبة langflow-ai تسمح للمهاجمين بتنفيذ أكواد Python عشوائية عن بعد. الثغرة موجودة في دالة eval بملف lambda_filter.p وتؤثر على جميع الإصدارات حتى 1.8.4. تم الكشف عن استغلال عملي للثغرة وتوفره للجمهور.
ثغرة حقن أوامر في JD Cloud JDCOS 4.5.1.r4518 تؤثر على دالة set_iptv_info في مكون واجهة الخدمة /jdcap. يمكن للمهاجمين البعيدين استغلال هذه الثغرة من خلال التلاعب بمعامل vid لتنفيذ أوامر تعسفية على النظام. تم نشر استغلال عملي للثغرة ولم يستجب البائع لمحاولات الكشف المسؤول.
تم تحديد ثغرة في Calibre-Web تصل إلى الإصدار 0.6.26 في دالة generate_auth_token بملف cps/kobo_auth.py تسمح بالتلاعب بمعامل user_id. هذا يؤدي إلى فشل في آليات التفويض مما يسمح بالوصول غير المصرح به عن بعد. توجد استغلالات عامة متاحة لهذه الثغرة.
تؤثر هذه الثغرة على مكون معالج HuggingFace Transformer في SGLang حيث يمكن للمهاجمين استغلال دالة get_tokenizer لتنفيذ هجمات إلغاء التسلسل. يتطلب الاستغلال مستوى تعقيد عالي ولكن قد يؤدي إلى تنفيذ كود عشوائي على الأنظمة المتأثرة.
CVE-2026-7686
ثغرة التحكم في الوصول غير الصحيح في تفعيل Premium القديم في Adblock Plus Chrome
15:20 KSA
تؤثر هذه الثغرة على مكون تفعيل Premium القديم في Adblock Plus والذي تم إيقاف استخدامه بالفعل من قبل eyeo. يسمح الاستغلال بالحصول على رخصة تجريبية قصيرة الأجل (حوالي 24 ساعة) بدلاً من الوصول الدائم إلى Premium. خادم الترخيص يتحقق من الاشتراكات الحقيقية عند الفحص التالي وتنتهي الرخ…
تم اكتشاف ثغرة تجاوز التفويض في منتج AFFiNE الذي يستخدم لإدارة المستندات والتعاون. تسمح الثغرة للمهاجمين بالوصول إلى المستندات الخاصة من خلال نقطة نهاية معاينة Markdown العامة دون الحاجة إلى بيانات اعتماد صحيحة. الاستغلال متاح للعامة والبائع لم يستجب للإفصاح المسؤول.
تم اكتشاف ثغرة حقن SQL في دالة _checkValForAPI بملف htdocs/expedition/class/expedition.class.php في نقطة نهاية Shipments API. يمكن للمهاجمين البعيدين استغلال هذه الثغرة من خلال معالجة معامل fields لتنفيذ استعلامات SQL عشوائية. الاستغلال متاح علناً وقد لا يستجيب البائع للإفصاح.
⚠️ استخبارات التهديدات
6 تهديد
rss:BleepingComputer
—
00:54 KSA
Microsoft Defender يصنف شهادات DigiCert بشكل خاطئ كـ Trojan:Win32/Cerdigent.A!dha
يقوم Microsoft Defender بتصنيف شهادات DigiCert الجذرية الشرعية بشكل خاطئ كبرامج ضارة، مما يسبب تنبيهات إيجابية كاذبة واسعة النطاق وإزالة الشهادات من أنظمة Windows. يؤثر هذا الخطأ ع…
rss:SecurityWeek
—
23:28 KSA
الجيش الأمريكي يبرم اتفاقيات مع 7 شركات تقنية لاستخدام الذكاء الاصطناعي على الأنظمة المصنفة
أبرمت وزارة الدفاع الأمريكية شراكات مع شركات تقنية كبرى بما فيها جوجل ومايكروسوفت وأمازون ويب سيرفيسز ونفيديا وأوبن إيه آي وريفليكشن وسبيس إكس لدمج قدرات الذكاء الاصطناعي…
rss:BleepingComputer
—
20:26 KSA
تطبيقات تليجرام الصغيرة تُستخدم في عمليات احتيال العملات الرقمية وتوزيع البرامج الضارة على أندرويد
يستغل المجرمون الإلكترونيون ميزة تطبيقات تليجرام الصغيرة لتنفيذ عمليات احتيال واسعة النطاق في العملات الرقمية، وانتحال هوية العلامات التجارية الشرعية، وتوزيع البرا…
rss:Malwarebytes Lab
—
17:54 KSA
3 مخاطر أمان سيبراني يسهل تجاهلها للشركات الصغيرة
تناقش المقالة ثلاث مخاطر أمان سيبراني غير تقنية يتجاهلها أصحاب الشركات الصغيرة بشكل متكرر ويمكن معالجتها دون خبرة متخصصة. تمثل هذه المخاطر نقاط ضعف شائعة في وضع الأمان للشركات الصغيرة تتطلب حلولاً تنظيمية بدلاً م
rss:The Hacker News
—
13:54 KSA
وكالة الأمن السيبراني الأمريكية تضيف ثغرة وصول جذر لينكس المستغلة بنشاط CVE-2026-31431 إلى كتالوج الثغرات المعروفة
أضافت وكالة الأمن السيبراني والبنية التحتية الأمريكية (CISA) ثغرة CVE-2026-31431 وهي ثغرة وصول جذر حرجة في لينكس إلى كتالوج الثغرات المستغلة بسبب ا…
rss:BleepingComputer
—
04:19 KSA
ثغرة حرجة في cPanel يتم استغلالها بكثافة في هجمات برنامج الفدية "Sorry"
يتم استغلال ثغرة حرجة في cPanel (CVE-2026-41940) بشكل نشط في هجمات برنامج الفدية واسعة النطاق باستخدام متغير "Sorry". يستخدم المهاجمون هذه الثغرة للوصول إلى المواقع الإلكترونية وتش…
📰 أخبار الأمن السيبراني
0 مقال
لا توجد أخبار مجمّعة اليوم حتى الآن
يتم تحديث هذه النشرة تلقائياً يومياً — آخر تحديث: 03 May 2026
أرشيف الثغرات ·
التهديدات ·
الأخبار