سيزو للاستشارات

→

04 May 2026 اليوم

←

200 ثغرة

34 تهديد

0 خبر

4 حرجة

🛡 الثغرات الأمنية (CVE)

200 ثغرة

CVE-2026-42364

ثغرة حقن أوامر نظام التشغيل في تكوين DDNS بأجهزة GeoVision

12:17 KSA

حرج CVSS 9.9 CWE-78

تحتوي أجهزة كاميرات GeoVision LPC2011/LPC2211 على ثغرة حقن أوامر حرجة في وحدة تكوين DDNS (DdnsSetting.cgi) بالإصدار 1.10. يمكن للمهاجم الذي لديه وصول إلى واجهة الإدارة تعديل معاملات DDNS لحقن أوامر نظام التشغيل وتنفيذها بصلاحيات الجهاز. هذا يؤدي إلى اختراق كامل للجهاز والشبكة الم…

CVE-2026-42373

D-Link DIR-605L Hardware Revision B2 (End-of-Life, EOL) contains a hardcoded telnet backdoor. The device starts a telnet

08:48 KSA

حرج CVSS 9.8 CWE-798

D-Link DIR-605L Hardware Revision B2 (End-of-Life, EOL) contains a hardcoded telnet backdoor. The device starts a telnet daemon at boot via /bin/telnetd.sh with the username "Alphanetworks" and the static password "wrgn76_dlwbr_dir605L" read from /etc/alpha_config/image_sign. The…

CVE-2026-42374

D-Link DIR-600L Hardware Revision B1 (End-of-Life) contains a hardcoded telnet backdoor. The device starts a telnet daem

08:48 KSA

حرج CVSS 9.8 CWE-798

D-Link DIR-600L Hardware Revision B1 (End-of-Life) contains a hardcoded telnet backdoor. The device starts a telnet daemon at boot via /bin/telnetd.sh with the username "Alphanetworks" and the static password "wrgn61_dlwbr_dir600L" read from /etc/alpha_config/image_sign. The cust…

CVE-2026-42375

D-Link DIR-600L Hardware Revision A1 (End-of-Life) contains a hardcoded telnet backdoor. The device starts a telnet daem

08:48 KSA

حرج CVSS 9.8 CWE-798

D-Link DIR-600L Hardware Revision A1 (End-of-Life) contains a hardcoded telnet backdoor. The device starts a telnet daemon at boot via /bin/telnetd.sh with the username "Alphanetworks" and the static password "wrgn35_dlwbr_dir600l" read from /etc/alpha_config/image_sign. The cust…

CVE-2018-25308

BuddyPress Xprofile Custom Fields Type 2.6.3 contains a remote code execution vulnerability that allows authenticated us

12:18 KSA

عالٍ CVSS 8.8 CWE-22

BuddyPress Xprofile Custom Fields Type 2.6.3 contains a remote code execution vulnerability that allows authenticated users to delete arbitrary files by manipulating unescaped POST parameters. Attackers can modify the field_hiddenfile and field_deleteimg parameters during profile…

CVE-2026-29514

NetBox versions 4.3.5 through 4.5.4 contain a remote code execution vulnerability in the RenderTemplateMixin.get_environ

04:54 KSA

عالٍ CVSS 8.8 CWE-183

NetBox versions 4.3.5 through 4.5.4 contain a remote code execution vulnerability in the RenderTemplateMixin.get_environment_params() method that allows authenticated users with exporttemplate or configtemplate permissions to execute arbitrary code by specifying malicious Python …

CVE-2026-34965

Cockpit CMS contains an authenticated remote code execution vulnerability in the /cockpit/collections/save_collection en

18:32 KSA

عالٍ CVSS 8.8 CWE-94

Cockpit CMS contains an authenticated remote code execution vulnerability in the /cockpit/collections/save_collection endpoint that allows authenticated attackers with collection management privileges to inject arbitrary PHP code into collection rules parameters. Attackers can in…

CVE-2026-41404

OpenClaw before 2026.3.31 contains an incomplete scope-clearing vulnerability in trusted-proxy authentication mode that

05:54 KSA

عالٍ CVSS 8.8 CWE-863

OpenClaw before 2026.3.31 contains an incomplete scope-clearing vulnerability in trusted-proxy authentication mode that allows operator.admin privilege escalation. Attackers can exploit this by declaring operator scopes on non-Control-UI clients, allowing self-declared scopes to …

CVE-2026-42229

n8n is an open source workflow automation platform. Prior to versions 1.123.32, 2.17.4, and 2.18.1, a flaw in the SeaTab

15:18 KSA

عالٍ CVSS 8.8 CWE-89

n8n is an open source workflow automation platform. Prior to versions 1.123.32, 2.17.4, and 2.18.1, a flaw in the SeaTable node's row:search and row:get operations allowed user-controlled input to be concatenated directly into SQL query strings without escaping or parameterizatio…

CVE-2026-42231

n8n is an open source workflow automation platform. Prior to versions 1.123.32, 2.17.4, and 2.18.1, a flaw in the xml2js

15:18 KSA

عالٍ CVSS 8.8 CWE-1321

n8n is an open source workflow automation platform. Prior to versions 1.123.32, 2.17.4, and 2.18.1, a flaw in the xml2js library used to parse XML request bodies in n8n's webhook handler allowed prototype pollution via a crafted XML payload. An authenticated user with permission …

CVE-2026-42232

n8n is an open source workflow automation platform. Prior to versions 1.123.32, 2.17.4, and 2.18.1, an authenticated use

18:32 KSA

عالٍ CVSS 8.8 CWE-1321

n8n is an open source workflow automation platform. Prior to versions 1.123.32, 2.17.4, and 2.18.1, an authenticated user with permission to create or modify workflows could achieve global prototype pollution via the XML Node leading to RCE when combined with other nodes exploiti…

CVE-2026-42234

n8n is an open source workflow automation platform. Prior to versions 1.123.32, 2.17.4, and 2.18.1, an authenticated use

18:32 KSA

عالٍ CVSS 8.8 CWE-94

n8n is an open source workflow automation platform. Prior to versions 1.123.32, 2.17.4, and 2.18.1, an authenticated user with permission to create or modify workflows containing a Python Code Node could escape the sandbox and achieve arbitrary code execution on the task runner c…

CVE-2026-42237

n8n is an open source workflow automation platform. Prior to versions 1.123.32, 2.17.4, and 2.18.1, the fix for GHSA-f3f

18:32 KSA

عالٍ CVSS 8.8 CWE-89

n8n is an open source workflow automation platform. Prior to versions 1.123.32, 2.17.4, and 2.18.1, the fix for GHSA-f3f2-mcxc-pwjx did not cover the Snowflake node or the legacy MySQL v1 node. Both nodes construct SQL queries by directly interpolating user-controlled table names…

CVE-2026-42422

OpenClaw before 2026.4.8 contains a role bypass vulnerability in the device.token.rotate function that allows minting to

05:54 KSA

عالٍ CVSS 8.8 CWE-863

OpenClaw before 2026.4.8 contains a role bypass vulnerability in the device.token.rotate function that allows minting tokens for unapproved roles. Attackers can bypass device role-upgrade pairing to preserve or mint roles and scopes that had not undergone intended approval.

CVE-2026-42426

OpenClaw before 2026.4.8 contains an improper authorization vulnerability where the node.pair.approve method accepts ope

05:54 KSA

عالٍ CVSS 8.8 CWE-863

OpenClaw before 2026.4.8 contains an improper authorization vulnerability where the node.pair.approve method accepts operator.write scope instead of the narrower operator.pairing scope, allowing unprivileged users to approve node pairing. Attackers with operator.write permissions…

CVE-2026-5140

Improper neutralization of CRLF sequences ('CRLF injection') vulnerability in TUBITAK BILGEM Software Technologies Resea

05:54 KSA

عالٍ CVSS 8.8 CWE-93

Improper neutralization of CRLF sequences ('CRLF injection') vulnerability in TUBITAK BILGEM Software Technologies Research Institute Pardus allows Authentication Bypass. This issue affects Pardus: from

CVE-2026-5161

Improper link resolution before file access ('link following') vulnerability in TUBITAK BILGEM Software Technologies Res

05:54 KSA

عالٍ CVSS 8.8 CWE-59

Improper link resolution before file access ('link following') vulnerability in TUBITAK BILGEM Software Technologies Research Institute Pardus About allows Symlink Attack. This issue affects Pardus About: before v1.2.1.

CVE-2026-6849

Improper neutralization of special elements used in an OS command ('OS command injection') vulnerability in TUBITAK BILG

07:54 KSA

عالٍ CVSS 8.8 CWE-78

Improper neutralization of special elements used in an OS command ('OS command injection') vulnerability in TUBITAK BILGEM Software Technologies Research Institute Pardus OS My Computer allows OS Command Injection. This issue affects Pardus OS My Computer: from

CVE-2026-7418

A vulnerability was determined in UTT HiPER 1250GW up to 3.2.7-210907-180535. This vulnerability affects the function st

18:32 KSA

عالٍ CVSS 8.8 CWE-119

A vulnerability was determined in UTT HiPER 1250GW up to 3.2.7-210907-180535. This vulnerability affects the function strcpy of the file route/goform/NTP. Executing a manipulation of the argument Profile can lead to buffer overflow. The attack may be launched remotely. The exploi…

CVE-2026-7419

A vulnerability was identified in UTT HiPER 1250GW up to 3.2.7-210907-180535. This issue affects the function strcpy of

18:32 KSA

عالٍ CVSS 8.8 CWE-119

A vulnerability was identified in UTT HiPER 1250GW up to 3.2.7-210907-180535. This issue affects the function strcpy of the file route/goform/formTaskEdit_ap. The manipulation of the argument Profile leads to buffer overflow. Remote exploitation of the attack is possible. The exp…

CVE-2026-7420

تجاوز المخزن المؤقت في UTT HiPER 1250GW في ConfigAdvideo تنفيذ التعليمات البرمجية عن بعد

20:54 KSA

عالٍ CVSS 8.8 CWE-119

يؤثر هذا الضعف على أجهزة بوابة UTT HiPER 1250GW المستخدمة في البيئات الشبكية، حيث يسمح بتجاوز المخزن المؤقت عبر معامل Profile غير المحقق منه في وظيفة strcpy. يمكن للمهاجمين البعيدين استغلال هذه الثغرة لتنفيذ تعليمات برمجية عشوائية بامتيازات الجهاز.

CVE-2026-7466

AgentFlow contains an arbitrary code execution vulnerability that allows attackers to execute local Python pipeline file

07:54 KSA

عالٍ CVSS 8.8 CWE-94

AgentFlow contains an arbitrary code execution vulnerability that allows attackers to execute local Python pipeline files by supplying a user-controlled pipeline_path parameter to the POST /api/runs and POST /api/runs/validate endpoints. Attackers can induce requests to the local…

CVE-2026-7470

تجاوز المخزن المؤقت في جهاز Tenda 4G300 في دالة SafeMacFilter

01:16 KSA

عالٍ CVSS 8.8 CWE-119

ثغرة تجاوز المخزن المؤقت القائم على المكدس في دالة sub_427C3C بملف /goform/SafeMacFilter في جهاز التوجيه Tenda 4G300. يمكن للمهاجمين البعيدين استغلال هذه الثغرة من خلال معامل 'page' لتنفيذ كود عشوائي. تم نشر استغلال هذه الثغرة علناً مما يزيد من خطر الاستخدام الفعلي.

CVE-2026-7750

تجاوز المخزن المؤقت في معالج قواعد تصفية MAC في Totolink N300RH

19:23 KSA

عالٍ CVSS 8.8 CWE-119

تؤثر هذه الثغرة على معالج طلبات POST في جهاز التوجيه Totolink N300RH وتسمح بتجاوز المخزن المؤقت عند معالجة معاملات عنوان MAC. يمكن للمهاجمين البعيدين استغلال هذه الثغرة لتنفيذ أوامر تعسفية على الجهاز المتأثر.

CVE-2026-7749

تجاوز المخزن المؤقت في Totolik N300RH في معامل priDns بدالة setWanConfig

19:23 KSA

عالٍ CVSS 8.8 CWE-119

ثغرة تجاوز المخزن المؤقت (CWE-119) في دالة setWanConfig بملف /cgi-bin/cstecgi.cgi في جهاز توجيه Totolik N300RH تسمح بتنفيذ كود عشوائي عن بعد. المهاجم يمكنه استغلال معامل priDns لكتابة بيانات تتجاوز حدود المخزن المؤقت المخصص. تم الكشف عن هذه الثغرة علنًا وقد تُستخدم في هجمات نشطة.

CVE-2026-7748

تجاوز المخزن المؤقت في معالج ترقية البرنامج الثابت Totolik N300RH (CVE-2026-7748)

19:23 KSA

عالٍ CVSS 8.8 CWE-119

يؤثر هذا الضعف على معالج طلبات POST في ملف /cgi-bin/cstecgi.cgi، حيث يمكن للمهاجمين البعيدين استغلال معامل FileName لتجاوز حدود المخزن المؤقت وتنفيذ أوامر تعسفية. تم الكشف عن الاستغلال علنًا، مما يزيد من خطر الهجمات الفعلية على البنية التحتية للشبكة.

CVE-2026-7717

تجاوز المخزن المؤقت في دالة UploadCustomModule في جهاز Totolink WA300

12:17 KSA

عالٍ CVSS 8.8 CWE-119

تؤثر هذه الثغرة على معالج طلبات POST في جهاز التوجيه Totolik WA300 حيث يمكن لمهاجم بعيد استغلال دالة UploadCustomModule بتجاوز حد المخزن المؤقت. تم الكشف عن هذا الاستغلال علناً مما يزيد من خطورة التهديد بشكل كبير.

CVE-2026-42365

ثغرة ملف تعريف الجلسة القابلة للتخمين في GeoVision LPC2011/LPC2211

12:17 KSA

عالٍ CVSS 8.6 CWE-341

تحتوي واجهة الويب في أجهزة GeoVision LPC2011/LPC2211 الإصدار 1.10 على ثغرة تسمح للمهاجمين بتخمين ملفات تعريف الجلسة بسهولة. يمكن للمهاجم إرسال سلسلة من طلبات HTTP المصممة خصيصاً لتجاوز آليات المصادقة والوصول غير المصرح به إلى النظام.

CVE-2026-41914

ثغرة SSRF في OpenClaw في تحميل وسائط QQ Bot قبل الإصدار 2026.4.8

05:54 KSA

عالٍ CVSS 8.5 CWE-918

تؤثر هذه الثغرة على وحدات تحميل الوسائط في QQ Bot حيث يمكن للمهاجمين تجاوز آليات الحماية من SSRF المطبقة. يمكن للمهاجمين الوصول إلى الموارد الداخلية والخدمات المحلية التي لا يجب أن تكون متاحة للجمهور.

CVE-2018-25299

تجاوز المخزن المؤقت في Prime95 29.4b8 في إعدادات وكيل PrimeNet

12:18 KSA

عالٍ CVSS 8.4 CWE-120

يؤثر هذا الضعف على Prime95 29.4b8 ويسمح بتنفيذ كود عشوائي محلي من خلال استغلال آلية معالجة الاستثناءات المنظمة. يمكن للمهاجمين الذين لديهم وصول محلي حقن حمولات ضارة عبر حقل اسم مضيف الوكيل لتجاوز المخزن المؤقت وتنفيذ أوامر النظام.

CVE-2018-25301

ثغرة تجاوز المخزن المؤقت المحلي في Easy MPEG to DVD Burner 1.7.11

12:18 KSA

عالٍ CVSS 8.4 CWE-120

ثغرة تجاوز المخزن المؤقت المحلي في Easy MPEG to DVD Burner 1.7.11 تسمح للمهاجمين المحليين بتنفيذ أكواد عشوائية عبر معالجة اسم مستخدم خاص. يمكن للمهاجم إنشاء حمولة تحتوي على بيانات عشوائية وموجهات سلسلة SEH وأكواد ضارة لتحويل تنفيذ البرنامج.

CVE-2018-25303

ثغرة تجاوز المخزن المؤقت في حقل اسم الترخيص بتطبيق Allok Video to DVD Burner

12:18 KSA

عالٍ CVSS 8.4 CWE-121

تحتوي نسخة 2.6.1217 من تطبيق Allok Video to DVD Burner على ثغرة تجاوز مخزن مؤقت قائمة على المكدس في حقل اسم الترخيص. يمكن للمهاجمين المحليين استغلال هذه الثغرة بإدخال سلسلة نصية ضارة بطول 780 بايت متبوعة بمؤشرات سلسلة معالجات الاستثناءات والأكواد الضارة. يؤدي هذا الاستغلال إلى تن…

CVE-2018-25304

تجاوز المخزن المؤقت في استيراد URL في Free Download Manager 2.0 Build 417

12:18 KSA

عالٍ CVSS 8.4 CWE-120

ثغرة تجاوز المخزن المؤقت المحلي في Free Download Manager 2.0 Build 417 تؤثر على وظيفة استيراد URL، حيث يمكن للمهاجمين استغلال رأس Location لتجاوز المخزن المؤقت وكتابة سلسلة معالجات الاستثناءات المنظمة (SEH). يسمح هذا الاستغلال بتنفيذ أكواد عشوائية بامتيازات المستخدم المحلي.

CVE-2018-25307

تجاوز المخزن المؤقت في SysGauge Pro 4.6.12 في وظيفة التسجيل

12:18 KSA

عالٍ CVSS 8.4 CWE-120

تحتوي نسخة SysGauge Pro 4.6.12 على ثغرة تجاوز المخزن المؤقت المحلي في وظيفة التسجيل التي تسمح للمهاجمين المحليين بالكتابة فوق معالج الاستثناء المنظم. يمكن للمهاجمين استغلال هذه الثغرة بحقن رمز shell عبر حقل مفتاح الفتح أثناء عملية التسجيل.

CVE-2018-25314

Allok soft WMV to AVI MPEG DVD WMV Converter 4.6.1217 contains a buffer overflow vulnerability that allows local attacke

12:18 KSA

عالٍ CVSS 8.4 CWE-120

Allok soft WMV to AVI MPEG DVD WMV Converter 4.6.1217 contains a buffer overflow vulnerability that allows local attackers to execute arbitrary code by supplying an oversized string in the License Name field. Attackers can craft a malicious input containing shellcode with structu…

CVE-2018-25315

Alloksoft Video joiner 4.6.1217 contains a buffer overflow vulnerability that allows local attackers to execute arbitrar

12:18 KSA

عالٍ CVSS 8.4 CWE-120

Alloksoft Video joiner 4.6.1217 contains a buffer overflow vulnerability that allows local attackers to execute arbitrary code by supplying a malicious string in the License Name field. Attackers can craft a payload with structured exception handler (SEH) overwrite and shellcode …

CVE-2018-25300

ثغرة حقن SQL قائمة على الاتحاد في نظام XATABoost CMS الإصدار 1.0.0

12:18 KSA

عالٍ CVSS 8.2 CWE-89

ثغرة حقن SQL قائمة على الاتحاد في نظام إدارة المحتوى XATABoost الإصدار 1.0.0 تسمح للمهاجمين غير المصرح لهم بالوصول إلى قاعدة البيانات. يمكن استغلال المعامل id في ملف news.php لاستخراج بيانات حساسة مثل بيانات المستخدمين وكلمات المرور والمعلومات السرية.

CVE-2026-41394

تجاوز المصادقة في OpenClaw في مسارات Plugin-Auth

05:54 KSA

عالٍ CVSS 8.2 CWE-862

تحتوي ثغرة CVE-2026-41394 على عيب في آلية المصادقة حيث تسمح مسارات HTTP معينة في OpenClaw بالوصول غير المصرح إليها. يمكن للمهاجمين الاستفادة من هذا الضعف للوصول إلى وظائف وقت التشغيل المحمية والتي يجب أن تكون مقصورة على المشغلين المصرح لهم فقط.

CVE-2026-41383

ثغرة حذف المجلدات التعسفية في OpenClaw بوضع المرآة

05:54 KSA

عالٍ CVSS 8.1 CWE-22

تحتوي OpenClaw على ثغرة في وضع المرآة تسمح للمهاجمين بحذف المجلدات البعيدة من خلال التلاعب بقيم التكوين remoteWorkspaceDir و remoteAgentWorkspaceDir. يمكن للمهاجمين استخدام هذه الثغرة لاستبدال محتويات المجلدات الحساسة ببيانات خبيثة أثناء عمليات المزامنة.

CVE-2026-42431

ثغرة تجاوز أمان طفرة ملف تعريف المتصفح في OpenClaw

05:54 KSA

عالٍ CVSS 8.1 CWE-863

تسمح ثغرة تجاوز الأمان في OpenClaw للمهاجمين بتجاوز حماية طفرة ملف التعريف الدائم من خلال استغلال node.invoke(browser.proxy). يمكن للمهاجمين المصرح لهم الوصول إلى تعديل تكوينات المتصفح بشكل غير مصرح به، مما قد يؤدي إلى اختراق الجلسات وسرقة البيانات.

CVE-2018-25302

ثغرة تجاوز المخزن المؤقت SEH في محول Allok AVI إلى DVD

12:18 KSA

عالٍ CVSS 7.8 CWE-120

تحتوي نسخة 4.0.1217 من برنامج Allok على ثغرة تجاوز مخزن مؤقت في حقل اسم الترخيص تسمح بتنفيذ أكواد عشوائية. يقوم المهاجم بإدراج سلسلة نصية ضارة تحتوي على بيانات عشوائية وعناوين معالجات SEH وكود ضار في حقل الترخيص. عند النقر على زر التسجيل، يتم تفعيل الثغرة مما يؤدي إلى تنفيذ الكود…

CVE-2025-47405

تلف الذاكرة في معالجة رموز التحكم في إدخال/إخراج مستشعر الكاميرا

02:00 KSA

عالٍ CVSS 7.8 CWE-822

هذه الثغرة تؤثر على معالجة رموز التحكم في إدخال/إخراج مستشعر الكاميرا عند استخدام مخازن مؤقتة إخراج غير صحيحة. يمكن للمهاجمين استغلال هذا الضعف لتلف الذاكرة وتنفيذ رمز عشوائي بامتيازات النظام. تؤثر الثغرة على الأنظمة التي تعتمد على معالجة مدخلات الكاميرا دون التحقق الكافي من صحة …

CVE-2025-47407

تسرب الذاكرة في نواة معالج الإشارات الرقمية عند فشل إنشاء العملية

02:00 KSA

عالٍ CVSS 7.8 CWE-367

تحدث هذه الثغرة عند فشل تخصيص الذاكرة على مستوى نواة معالج الإشارات الرقمية أثناء محاولة إنشاء عملية جديدة. يمكن للمهاجمين استغلال هذا الفشل لإفساد ذاكرة النواة وتحقيق رفع الامتيازات أو إيقاف الخدمات.

CVE-2025-47408

تلف الذاكرة في معالجة مخزن مؤقت IOCTL لمشغل الجهاز

04:54 KSA

عالٍ CVSS 7.8 CWE-822

هذا الثغرة تتعلق بتلف الذاكرة الذي يحدث عندما يستدعي مشغل جهاز آخر IOCTL برسائل إدخال/إخراج غير صحيحة. قد يؤدي هذا إلى تصعيد الامتيازات أو انهيار النظام أو تنفيذ كود عشوائي. تتطلب الاستفادة من هذه الثغرة وصولاً محلياً وقدرة على التفاعل مع مشغلات الأجهزة.

CVE-2026-24082

فساد الذاكرة عبر استخدام الذاكرة المحررة في عمليات عداد الأداء

04:54 KSA

عالٍ CVSS 7.8 CWE-416

ثغرة فساد الذاكرة هذه تنشأ من استخدام مؤشر لذاكرة تم تحريرها أثناء عمليات إلغاء تحديد عداد الأداء. يمكن للمهاجمين المحليين استغلال هذه الثغرة للوصول إلى امتيازات أعلى أو تعطيل الخدمات الحرجة.

CVE-2026-41384

ثغرة حقن متغيرات البيئة في OpenClaw بمشغل واجهة سطر الأوامر

05:54 KSA

عالٍ CVSS 7.8 CWE-15

تحتوي نسخ OpenClaw السابقة للإصدار 2026.3.24 على ثغرة حقن متغيرات بيئة في مشغل واجهة سطر الأوامر الخلفية. يمكن للمهاجمين استغلال هذه الثغرة من خلال تصميم ملفات تكوين مساحة عمل ضارة لحقن متغيرات بيئة عشوائية. قد يؤدي هذا إلى تنفيذ كود عشوائي أو الكشف عن معلومات حساسة.

CVE-2026-41387

تجاوز تطهير متغيرات بيئة المضيف في OpenClaw (CVE-2026-41387)

05:54 KSA

عالٍ CVSS 7.8 CWE-183

تحتوي ملفات host-env-security-policy.json و host-env-security.ts في OpenClaw على تطهير غير كامل لمتغيرات البيئة، مما يسمح بتجاوز إعدادات مدير الحزم. يمكن للمهاجمين استغلال طلبات التنفيذ الموافق عليها لإعادة توجيه دقة الحزم إلى خوادم خاضعة لسيطرتهم وتنفيذ محتوى مصاب ببرامج ضارة.

CVE-2026-41396

تجاوز دليل ملحقات OpenClaw عبر متغيرات بيئة مساحة العمل

05:54 KSA

عالٍ CVSS 7.8 CWE-829

يسمح هذا الثغرة للمهاجمين الذين لديهم تحكم على تكوين مساحة العمل بتجاوز متغير البيئة OPENCLAW_BUNDLED_PLUGINS_DIR من خلال ملفات .env. يمكن استخدام هذا لحقن ملحقات خبيثة وتجاوز آليات التحقق من الثقة في الملحقات المدمجة. قد يؤدي هذا إلى تنفيذ أكواد عشوائية وتسرب البيانات في البيئات…

CVE-2026-42432

ثغرة تصعيد امتيازات في OpenClaw عبر إعادة اتصال عقدة غير مصرحة

05:54 KSA

عالٍ CVSS 7.8 CWE-863

تسمح هذه الثغرة للعقد المقترنة مسبقاً بإعادة الاتصال بأنظمة OpenClaw دون الحاجة إلى نطاق operator.admin المطلوب. يمكن للمهاجمين الذين لديهم معرفة بالعقد السابقة تنفيذ أوامر تنفيذية مميزة على الأنظمة المحلية. تؤثر هذه الثغرة على جميع إصدارات OpenClaw السابقة للإصدار 2026.4.8.

CVE-2026-41912

تجاوز سياسة SSRF في OpenClaw عبر استغلال تنقل المتصفح

05:54 KSA

عالٍ CVSS 7.6 CWE-918

تحتوي نسخ OpenClaw السابقة للإصدار 2026.4.8 على ثغرة تسمح للمهاجمين بتجاوز فحوصات حماية SSRF من خلال استغلال تفاعلات المتصفح. يمكن للمهاجمين الوصول إلى الموارد المقيدة والخوادم الداخلية والبيانات الحساسة. هذه الثغرة تشكل خطراً كبيراً على أمان البنية التحتية للتطبيقات.

CVE-2019-25291

بيانات اعتماد مشفرة في أجهزة INIM Smartliving SmartLAN

04:01 KSA

عالٍ CVSS 7.5 CWE-798

تمثل هذه الثغرة الأمنية خطراً كبيراً على أنظمة التحكم في المباني والأمن الفيزيائي حيث تحتوي أجهزة INIM SmartLiving على بيانات اعتماد ثابتة لا يمكن تغييرها. يمكن للمهاجمين الذين يحصلون على هذه البيانات المشفرة الوصول إلى جميع الأجهزة المتأثرة عبر نماذج متعددة. تتيح هذه الثغرة للمه…

CVE-2025-66049

ثغرة الوصول غير المصرح إلى بث RTSP في كاميرات Vivotek IP7137

04:01 KSA

عالٍ CVSS 7.5 CWE-306

تسمح هذه الثغرة الأمنية الحرجة للمهاجمين بالوصول إلى البث المباشر للكاميرات دون الحاجة إلى بيانات اعتماد صحيحة من خلال استغلال نقص المصادقة في بروتوكول RTSP على المنفذ 8554. يمكن لأي مستخدم لديه وصول إلى الشبكة مشاهدة البث المباشر للكاميرا، مما يشكل انتهاكاً خطيراً للخصوصية والأم…

CVE-2025-68151

ثغرة استنزاف الموارد في CoreDNS لرفض الخدمة في gRPC/HTTPS/HTTP/3

04:01 KSA

عالٍ CVSS 7.5 CWE-770

تمثل هذه الثغرة خللاً أمنياً خطيراً في خوادم CoreDNS حيث تفتقر تطبيقات الخوادم المتعددة (gRPC وHTTPS وHTTP/3) إلى ضوابط حاسمة لتقييد الموارد. يستغل المهاجمون هذا الضعف من خلال فتح عدد كبير من الاتصالات أو التدفقات المتزامنة أو إرسال أجسام طلبات ضخمة الحجم دون مصادقة، مما يؤدي إلى…

CVE-2025-68428

ثغرة تضمين الملفات المحلية في jsPDF في بناء Node.js

04:01 KSA

عالٍ CVSS 7.5 CWE-35

تؤثر هذه الثغرة الأمنية على مكتبة jsPDF المستخدمة لإنشاء ملفات PDF في بيئة JavaScript، حيث يمكن للمهاجم استغلال عدم تعقيم المدخلات في المعامل الأول لدالة loadFile والدوال المرتبطة بها للوصول إلى ملفات النظام المحلية خارج نطاق التطبيق. تسمح الثغرة بقراءة محتويات الملفات الحساسة مث…

CVE-2025-68547

ثغرة عدم التفويض في مكون Follow My Blog Post

04:01 KSA

عالٍ CVSS 7.5 CWE-862

تمثل هذه الثغرة الأمنية خطراً كبيراً على المواقع الإلكترونية التي تستخدم إضافة Follow My Blog Post لووردبريس، حيث تنبع من غياب آليات التحقق من الصلاحيات بشكل صحيح. يمكن للمهاجمين استغلال هذا الضعف للوصول إلى وظائف إدارية أو حساسة دون امتلاك الصلاحيات المطلوبة، مما يعرض سرية وسلام…

CVE-2025-69227

ثغرة حلقة لا نهائية في AIOHTTP تسبب رفض الخدمة في معالجة جسم POST

04:01 KSA

عالٍ CVSS 7.5 CWE-835

تؤثر هذه الثغرة على إطار عمل AIOHTTP للعميل والخادم غير المتزامن في بايثون. عند تفعيل التحسينات (-O أو PYTHONOPTIMIZE=1)، يتم تجاوز عبارات assert مما يسمح بحدوث حلقة لا نهائية عند معالجة بيانات POST. يستطيع المهاجم إرسال رسائل مصممة بشكل خاص لاستهلاك موارد الخادم بالكامل وإيقاف ا…

CVE-2025-69228

ثغرة استنزاف الذاكرة في AIOHTTP في طريقة Request.post()

04:01 KSA

عالٍ CVSS 7.5 CWE-770

تمثل هذه الثغرة الأمنية خطراً كبيراً على الخوادم التي تستخدم إطار عمل AIOHTTP للبايثون في معالجة الطلبات غير المتزامنة. يستطيع المهاجم استغلال معالجات الطلبات التي تستخدم Request.post() لإرسال طلبات مصممة خصيصاً تؤدي إلى امتلاء الذاكرة بشكل لا يمكن السيطرة عليه. يؤدي هذا الاستغلا…

CVE-2025-69262

حقن أوامر في pnpm عبر استبدال متغيرات البيئة في .npmrc

04:01 KSA

عالٍ CVSS 7.5 CWE-78

تسمح هذه الثغرة الأمنية للمهاجمين باستغلال آلية استبدال متغيرات البيئة في ملفات تكوين .npmrc المستخدمة مع إعدادات tokenHelper في مدير الحزم pnpm. عند التحكم في متغيرات البيئة خلال عمليات pnpm، يمكن للمهاجم حقن أوامر نظام تعسفية وتنفيذها عن بُعد في بيئات البناء والتطوير. تؤثر الثغ…

CVE-2025-69263

تجاوز التحقق من سلامة تبعيات HTTP Tarball في pnpm

04:01 KSA

عالٍ CVSS 7.5 CWE-494

تتيح هذه الثغرة الأمنية الحرجة في مدير الحزم pnpm للمهاجمين تقديم محتوى متغير وخبيث عبر تبعيات HTTP وgit tarball دون أن يوفر ملف القفل أي حماية. عند تثبيت حزمة تحتوي على تبعية HTTP tarball في شجرة التبعيات، يمكن للخادم البعيد تقديم أكواد مختلفة لكل عملية تثبيت، مما يسمح بهجمات سل…

CVE-2025-69271

ضعف حماية بيانات الاعتماد في Broadcom DX NetOps Spectrum

04:01 KSA

عالٍ CVSS 7.5 CWE-522

تمثل هذه الثغرة الأمنية خطراً كبيراً على أنظمة إدارة الشبكات حيث يتم تخزين أو نقل بيانات الاعتماد بطريقة غير آمنة في منصة DX NetOps Spectrum. يمكن للمهاجمين الذين لديهم إمكانية الوصول إلى الشبكة استخدام تقنيات التنصت على حركة المرور الشبكية لاعتراض بيانات الاعتماد غير المشفرة أو …

CVE-2026-21441

قنبلة فك الضغط في urllib3 في استجابات إعادة التوجيه HTTP

04:01 KSA

عالٍ CVSS 7.5 CWE-409

تتيح واجهة البث في مكتبة urllib3 معالجة استجابات HTTP الكبيرة بكفاءة من خلال قراءة المحتوى على دفعات بدلاً من تحميل كامل الاستجابة في الذاكرة. عند معالجة استجابات إعادة التوجيه HTTP، تقوم المكتبة بقراءة وفك ضغط كامل محتوى الاستجابة تلقائياً حتى قبل استدعاء أي طرق قراءة، متجاهلة ح…

CVE-2026-21920

An Unchecked Return Value vulnerability in the DNS module of Juniper Networks Junos OS on SRX Series allows an unauthent

04:01 KSA

عالٍ CVSS 7.5 CWE-252

An Unchecked Return Value vulnerability in the DNS module of Juniper Networks Junos OS on SRX Series allows an unauthenticated, network-based attacker to cause a Denial-of-Service (DoS). If an SRX Series device configured for DNS processing, receives a specifically formatted …

CVE-2026-21926

Vulnerability in the Siebel CRM Deployment product of Oracle Siebel CRM (component: Server Infrastructure). Supported v

04:01 KSA

عالٍ CVSS 7.5

Vulnerability in the Siebel CRM Deployment product of Oracle Siebel CRM (component: Server Infrastructure). Supported versions that are affected are 17.0-25.2. Easily exploitable vulnerability allows unauthenticated attacker with network access via TLS to compromise Siebel CRM D…

CVE-2026-22010

Vulnerability in the Oracle Financial Services Analytical Applications Infrastructure product of Oracle Financial Servic

06:49 KSA

عالٍ CVSS 7.5

Vulnerability in the Oracle Financial Services Analytical Applications Infrastructure product of Oracle Financial Services Applications (component: Platform). Supported versions that are affected are 8.0.7.9, 8.0.8.7 and 8.1.2.5. Easily exploitable vulnerability allows unauthen…

CVE-2026-22016

Vulnerability in the Oracle Java SE, Oracle GraalVM for JDK, Oracle GraalVM Enterprise Edition product of Oracle Java SE

06:49 KSA

عالٍ CVSS 7.5

Vulnerability in the Oracle Java SE, Oracle GraalVM for JDK, Oracle GraalVM Enterprise Edition product of Oracle Java SE (component: JAXP). Supported versions that are affected are Oracle Java SE: 8u481, 8u481-b50, 8u481-perf, 11.0.30, 17.0.18, 21.0.10, 25.0.2, 26; Oracle GraalV…

CVE-2026-22023

ثغرة قراءة خارج الحدود في ذاكرة الكومة في دالة التشفير AEAD في مكتبة CryptoLib

04:01 KSA

عالٍ CVSS 7.5 CWE-125

تؤثر هذه الثغرة الأمنية على مكتبة CryptoLib المستخدمة في أنظمة الطيران الأساسية (cFS) لتأمين الاتصالات الفضائية باستخدام بروتوكول CCSDS Space Data Link Security Protocol. تنشأ الثغرة من خلل في التحقق من حدود الذاكرة في دالة التشفير المصادق عليه مع البيانات المرتبطة (AEAD)، مما يس…

CVE-2026-22026

ثغرة نمو الذاكرة غير المحدود في عميل KMC بمكتبة CryptoLib

04:01 KSA

عالٍ CVSS 7.5 CWE-789

تؤثر هذه الثغرة على مكتبة CryptoLib التي توفر حلاً برمجياً لتأمين الاتصالات بين المركبات الفضائية ومحطات الأرض باستخدام بروتوكول CCSDS SDLS-EP. الخلل يكمن في دالة write_callback الخاصة بمكتبة libcurl في عميل خدمة التشفير KMC، حيث تقوم بإعادة تخصيص مخازن الاستجابة دون أي فحص لحدود…

CVE-2026-22190

ثغرة Format String في أداة Panda3D egg-mkfont في خيار -gp

04:01 KSA

عالٍ CVSS 7.5 CWE-134

تؤثر هذه الثغرة الأمنية على أداة egg-mkfont في مكتبة Panda3D للرسومات ثلاثية الأبعاد، حيث يتم استخدام خيار سطر الأوامر -gp (نمط الحرف الرسومي) مباشرة كسلسلة تنسيق لدالة sprintf() مع توفير معامل واحد فقط. عند تقديم محددات تنسيق إضافية من قبل المهاجم، قد تقرأ الأداة قيماً غير مقصود…

CVE-2026-22200

Enhancesoft osTicket versions 1.18.x prior to 1.18.3 and 1.17.x prior to 1.17.7 contain an arbitrary file read vulnerabi

04:01 KSA

عالٍ CVSS 7.5 CWE-74

Enhancesoft osTicket versions 1.18.x prior to 1.18.3 and 1.17.x prior to 1.17.7 contain an arbitrary file read vulnerability in the ticket PDF export functionality. A remote attacker can submit a ticket containing crafted rich-text HTML that includes PHP filter expressions which …

CVE-2026-22205

SPIP versions prior to 4.4.10 contain an authentication bypass vulnerability caused by PHP type juggling that allows una

05:22 KSA

عالٍ CVSS 7.5 CWE-288

SPIP versions prior to 4.4.10 contain an authentication bypass vulnerability caused by PHP type juggling that allows unauthenticated attackers to access protected information. Attackers can exploit loose type comparisons in authentication logic to bypass login verification and re…

CVE-2026-22240

The vulnerability exists in BLUVOYIX due to an improper password storage implementation and subsequent exposure via unau

04:01 KSA

عالٍ CVSS 7.5 CWE-200

The vulnerability exists in BLUVOYIX due to an improper password storage implementation and subsequent exposure via unauthenticated APIs. An unauthenticated remote attacker could exploit this vulnerability by sending specially crafted HTTP requests to the vulnerable users API to …

CVE-2026-22245

ثغرة تجاوز نطاق عناوين IP في ماستودون تمكن هجمات SSRF على الموارد المحلية

04:01 KSA

عالٍ CVSS 7.5 CWE-918

تؤثر هذه الثغرة على خوادم ماستودون التي تقوم بطبيعتها بإجراء العديد من الطلبات الخارجية إلى نطاقات يوفرها المستخدمون. على الرغم من وجود آليات حماية لمنع الطلبات إلى عناوين IP المحلية، إلا أن قائمة نطاقات عناوين IP المحظورة كانت تفتقر إلى بعض النطاقات التي يمكن استخدامها للوصول إل…

CVE-2026-2236

C&Cm@il developed by HGiga has a SQL Injection vulnerability, allowing unauthenticated remote attackers to inject arbit

04:01 KSA

عالٍ CVSS 7.5 CWE-89

C&Cm@il developed by HGiga has a SQL Injection vulnerability, allowing unauthenticated remote attackers to inject arbitrary SQL commands to read database contents.

CVE-2026-2252

ثغرة XXE في Xerox FreeFlow Core تمكن هجمات SSRF

04:30 KSA

عالٍ CVSS 7.5 CWE-611

تؤثر هذه الثغرة على إصدارات Xerox FreeFlow Core حتى 8.0.7 وتسمح بتنفيذ هجمات SSRF من خلال مراجع كيانات خارجية ضارة في مدخلات XML. يمكن للمهاجمين استخدام هذه الثغرة للوصول إلى الموارد الداخلية والخوادم المحلية. الحل الموصى به هو الترقية الفورية إلى الإصدار 8.1.0 أو أحدث.

CVE-2026-2262

تسرب بيانات حساسة غير مصرح به في مكون Easy Appointments لـ WordPress

00:49 KSA

عالٍ CVSS 7.5 CWE-200

يسمح مكون Easy Appointments بالوصول غير المصرح به إلى بيانات المواعيد الحساسة من خلال نقطة نهاية REST API مسجلة بدون فحوصات الأذونات. يمكن لأي مهاجم الوصول إلى معلومات شخصية وتفاصيل الأسعار والعناوين دون الحاجة لأي بيانات اعتماد.

CVE-2026-22663

تجاوز التفويض في prompts.chat - فحوصات isPrivate المفقودة

09:36 KSA

عالٍ CVSS 7.5 CWE-862

تحتوي prompts.chat على ثغرات متعددة في تجاوز التفويض ناتجة عن فحوصات isPrivate المفقودة في نقاط نهاية API وإنشاء البيانات الوصفية للصفحات. يمكن للمهاجمين الوصول إلى سجل إصدارات المطالبات الخاصة وطلبات التغيير والأمثلة والمحتوى الحالي والبيانات الوصفية المكشوفة عبر علامات HTML met…

CVE-2026-22863

ثغرة عدم إنهاء التشفير في وحدة Deno node:crypto

04:01 KSA

عالٍ CVSS 7.5 CWE-325

ثغرة في وحدة node:crypto في Deno تفشل في إنهاء عمليات التشفير بشكل صحيح قبل الإصدار 2.6.0. يسمح هذا الخلل للمهاجمين بتنفيذ عمليات تشفير غير محدودة مما يسهل هجمات القوة الغاشمة واستخراج أسرار الخادم. تم إصلاح الثغرة في الإصدار 2.6.0.

CVE-2026-22868

go-ethereum (geth) is a golang execution layer implementation of the Ethereum protocol. A vulnerable node can be forced

04:01 KSA

عالٍ CVSS 7.5 CWE-20

go-ethereum (geth) is a golang execution layer implementation of the Ethereum protocol. A vulnerable node can be forced to shutdown/crash using a specially crafted message. This vulnerability is fixed in 1.16.8.

CVE-2026-22870

GuardDog is a CLI tool to identify malicious PyPI packages. Prior to 2.7.1, GuardDog's safe_extract() function does not

04:01 KSA

عالٍ CVSS 7.5 CWE-409

GuardDog is a CLI tool to identify malicious PyPI packages. Prior to 2.7.1, GuardDog's safe_extract() function does not validate decompressed file sizes when extracting ZIP archives (wheels, eggs), allowing attackers to cause denial of service through zip bombs. A malicious packa…

CVE-2026-22888

Improper input verification issue exists in Cybozu Garoon 5.0.0 to 6.0.3, which may lead to unauthorized alteration of p

04:01 KSA

عالٍ CVSS 7.5 CWE-231

Improper input verification issue exists in Cybozu Garoon 5.0.0 to 6.0.3, which may lead to unauthorized alteration of portal settings, potentially blocking access to the product.

CVE-2026-22905

An unauthenticated remote attacker can bypass authentication by exploiting insufficient URI validation and using path tr

04:01 KSA

عالٍ CVSS 7.5 CWE-22

An unauthenticated remote attacker can bypass authentication by exploiting insufficient URI validation and using path traversal sequences (e.g., /js/../cgi-bin/post.cgi), gaining unauthorized access to protected CGI endpoints and configuration downloads.

CVE-2026-2328

An unauthenticated remote attacker can exploit insufficient input validation to access backend components beyond their i

21:26 KSA

عالٍ CVSS 7.5 CWE-790

An unauthenticated remote attacker can exploit insufficient input validation to access backend components beyond their intended scope via path traversal, resulting in exposure of sensitive information.

CVE-2026-2339

Missing Authentication for Critical Function vulnerability in TUBITAK BILGEM Software Technologies Research Institute Li

03:13 KSA

عالٍ CVSS 7.5 CWE-306

Missing Authentication for Critical Function vulnerability in TUBITAK BILGEM Software Technologies Research Institute Liderahenk allows Remote Code Inclusion, Privilege Abuse, Command Injection.This issue affects Liderahenk: before v3.4.0.

CVE-2026-23482

Blinko is an AI-powered card note-taking project. Prior to version 1.8.4, the file server endpoint does not perform perm

11:22 KSA

عالٍ CVSS 7.5 CWE-22

Blinko is an AI-powered card note-taking project. Prior to version 1.8.4, the file server endpoint does not perform permission checks on the temp/ path and does not filter path traversal sequences, allowing unauthorized attackers to read arbitrary files on the server. When schedu…

CVE-2026-23644

esm.sh is a no-build content delivery network (CDN) for web development. Prior to Go pseeudoversion 0.0.0-20260116051925

04:01 KSA

عالٍ CVSS 7.5 CWE-22

esm.sh is a no-build content delivery network (CDN) for web development. Prior to Go pseeudoversion 0.0.0-20260116051925-c62ab83c589e, the software has a path traversal vulnerability due to an incomplete fix. `path.Clean` normalizes a path but does not prevent absolute paths in a…

CVE-2026-23661

Cleartext transmission of sensitive information in Azure IoT Explorer allows an unauthorized attacker to disclose inform

03:13 KSA

عالٍ CVSS 7.5 CWE-319

Cleartext transmission of sensitive information in Azure IoT Explorer allows an unauthorized attacker to disclose information over a network.

CVE-2026-23662

Missing authentication for critical function in Azure IoT Explorer allows an unauthorized attacker to disclose informati

03:13 KSA

عالٍ CVSS 7.5 CWE-306

Missing authentication for critical function in Azure IoT Explorer allows an unauthorized attacker to disclose information over a network.

CVE-2026-23664

Improper restriction of communication channel to intended endpoints in Azure IoT Explorer allows an unauthorized attacke

03:13 KSA

عالٍ CVSS 7.5 CWE-923

Improper restriction of communication channel to intended endpoints in Azure IoT Explorer allows an unauthorized attacker to disclose information over a network.

CVE-2026-23674

Improper resolution of path equivalence in Windows MapUrlToZone allows an unauthorized attacker to bypass a security fea

03:13 KSA

عالٍ CVSS 7.5 CWE-41

Improper resolution of path equivalence in Windows MapUrlToZone allows an unauthorized attacker to bypass a security feature over a network.

CVE-2026-23732

ثغرة تجاوز المخزن المؤقت في FreeRDP FastGlyph (CVE-2026-23732)

04:01 KSA

عالٍ CVSS 7.5 CWE-122

تحتوي ثغرة CVE-2026-23732 على عيب في معالجة بيانات FastGlyph حيث لا يتحقق البرنامج من حجم البيانات المُعلن (cbData) مقابل الحد الأدنى المطلوب بناءً على أبعاد الرموز الرسومية (cx/cy). يمكن لخادم RDP ضار أن يستغل هذا العيب لتشغيل تجاوز مخزن مؤقت عام على جانب العميل، مما يؤدي إلى تو…

CVE-2026-23743

تسرب المعلومات في Discourse عبر رؤوس إعادة التوجيه للموارد المقيدة

04:01 KSA

عالٍ CVSS 7.5 CWE-200

يؤثر هذا الثغر على منصات Discourse المستخدمة للتواصل الداخلي والمناقشات الحساسة. يسمح بتسرب أسماء المواضيع الخاصة والفئات المقيدة من خلال رؤوس HTTP وصفحات الخطأ. قد يؤدي إلى الكشف عن معلومات تنظيمية حساسة وتسهيل هجمات المعلومات الاستخباراتية.

CVE-2026-23850

كشف الملفات المحلية في SiYuan عبر عرض HTML غير مقيد في Markdown

04:01 KSA

عالٍ CVSS 7.5 CWE-22

يسمح نظام SiYuan بعرض HTML غير مقيد في ميزات markdown مما يؤدي إلى ثغرة كشف الملفات المحلية. يمكن للمهاجمون استخدام هذه الثغرة للوصول إلى ملفات حساسة على الخادم دون تصريح. تم إصلاح هذه المشكلة في الإصدار 3.5.4.

CVE-2026-23948

ثغرة إلغاء مؤشر NULL في FreeRDP في معالجة LogonInfoV2 (CVE-2026-23948)

04:01 KSA

عالٍ CVSS 7.5 CWE-476

تؤثر هذه الثغرة على خوادم وكيل FreeRDP التي تعالج بيانات LogonInfoV2 من خوادم RDP غير الموثوقة. يمكن لمهاجم بسيطرة على خادم RDP أن يرسل وحدة PDU مصممة خصيصاً لتسبب انهيار الوكيل. الإصلاح متوفر في الإصدار 3.22.0 وما بعده.

CVE-2026-24136

Saleor is an e-commerce platform. Versions 3.2.0 through 3.20.109, 3.21.0-a.0 through 3.21.44 and 3.22.0-a.0 through 3.2

04:01 KSA

عالٍ CVSS 7.5 CWE-639

Saleor is an e-commerce platform. Versions 3.2.0 through 3.20.109, 3.21.0-a.0 through 3.21.44 and 3.22.0-a.0 through 3.22.28 have a n Insecure Direct Object Reference (IDOR) vulnerability that allows unauthenticated actors to extract sensitive information in plain text. Orders cr…

CVE-2026-2428

The Fluent Forms Pro Add On Pack plugin for WordPress is vulnerable to Insufficient Verification of Data Authenticity in

04:30 KSA

عالٍ CVSS 7.5 CWE-345

The Fluent Forms Pro Add On Pack plugin for WordPress is vulnerable to Insufficient Verification of Data Authenticity in all versions up to, and including, 6.1.17. This is due to the PayPal IPN (Instant Payment Notification) verification being disabled by default (`disable_ipn_ve…

CVE-2026-24430

Shenzhen Tenda W30E V2 firmware versions up to and including V16.01.0.19(5037) disclose sensitive account credentials in

04:01 KSA

عالٍ CVSS 7.5 CWE-201

Shenzhen Tenda W30E V2 firmware versions up to and including V16.01.0.19(5037) disclose sensitive account credentials in cleartext within HTTP responses generated by the maintenance interface. Because the management interface is accessible over unencrypted HTTP by default, creden…

CVE-2026-24477

AnythingLLM is an application that turns pieces of content into context that any LLM can use as references during chatti

04:01 KSA

عالٍ CVSS 7.5 CWE-201

AnythingLLM is an application that turns pieces of content into context that any LLM can use as references during chatting. If AnythingLLM prior to version 1.10.0 is configured to use Qdrant as the vector database with an API key, this QdrantApiKey could be exposed in plain text …

CVE-2026-24491

FreeRDP is a free implementation of the Remote Desktop Protocol. Prior to 3.22.0, video_timer can send client notificati

04:01 KSA

عالٍ CVSS 7.5 CWE-416

FreeRDP is a free implementation of the Remote Desktop Protocol. Prior to 3.22.0, video_timer can send client notifications after the control channel is closed, dereferencing a freed callback and triggering a use after free. This vulnerability is fixed in 3.22.0.

CVE-2026-24675

FreeRDP is a free implementation of the Remote Desktop Protocol. Prior to 3.22.0, urb_select_interface can free the devi

04:01 KSA

عالٍ CVSS 7.5 CWE-416

FreeRDP is a free implementation of the Remote Desktop Protocol. Prior to 3.22.0, urb_select_interface can free the device's MS config on error but later code still dereferences it, leading to a use after free in libusb_udev_select_interface. This vulnerability is fixed in 3.22.0…

CVE-2026-24676

FreeRDP is a free implementation of the Remote Desktop Protocol. Prior to 3.22.0, AUDIN format renegotiation frees the a

04:01 KSA

عالٍ CVSS 7.5 CWE-416

FreeRDP is a free implementation of the Remote Desktop Protocol. Prior to 3.22.0, AUDIN format renegotiation frees the active format list while the capture thread continues using audin->format, leading to a use after free in audio_format_compatible. This vulnerability is fixed in…

CVE-2026-24678

ثغرة استخدام الذاكرة المحررة في FreeRDP بدالة ecam_channel_write عبر إغلاق قناة الجهاز

04:01 KSA

عالٍ CVSS 7.5 CWE-416

تحتوي ثغرة استخدام الذاكرة المحررة على خيط التقاط يرسل استجابات العينة باستخدام رد نداء قناة محرر بعد إغلاق قناة الجهاز. يمكن استغلال هذا الخلل عبر بروتوكول سطح المكتب البعيد لتنفيذ أكواد عشوائية أو إحداث انهيار الخدمة.

CVE-2026-24680

ثغرة استخدام الذاكرة المحررة في مؤشر SDL في FreeRDP

04:01 KSA

عالٍ CVSS 7.5 CWE-416

تحتوي ثغرة CVE-2026-24680 على عيب في إدارة الذاكرة في مكتبة FreeRDP حيث يتم تحرير نفس الكائن مرتين، مما يؤدي إلى حالة استخدام الذاكرة المحررة. يمكن للمهاجمين استغلال هذه الثغرة من خلال إنشاء جلسات RDP خاصة لتنفيذ كود عشوائي أو إيقاف الخدمات.

CVE-2026-24681

ثغرة استخدام بعد التحرير في قناة URBDRC بـ FreeRDP في urb_write_completion

04:01 KSA

عالٍ CVSS 7.5 CWE-416

تحتوي نسخ FreeRDP السابقة للإصدار 3.22.0 على ثغرة استخدام بعد التحرير (use-after-free) في معالج قناة URBDRC. يمكن استغلال هذه الثغرة عندما تكتمل عمليات نقل البيانات غير المتزامنة بعد إغلاق القناة، مما يؤدي إلى الوصول إلى ذاكرة محررة. قد يؤدي هذا إلى تنفيذ كود عشوائي أو انهيار الت…

CVE-2026-24682

ثغرة تجاوز المخزن المؤقت في معالجة صيغ الصوت بـ FreeRDP

04:01 KSA

عالٍ CVSS 7.5 CWE-122

تحتوي نسخ FreeRDP السابقة للإصدار 3.22.0 على ثغرة في معالجة صيغ الصوت حيث يتم تحرير عدد غير صحيح من صيغ الصوت (i + i) عند فشل التحليل. يؤدي هذا إلى الوصول خارج الحدود في دالة audio_formats_free مما قد يسبب تعطل الخدمة أو تنفيذ كود عشوائي.

CVE-2026-24683

ثغرة استخدام الذاكرة بعد التحرير في FreeRDP بدالة ainput_send_input_event

04:01 KSA

عالٍ CVSS 7.5 CWE-416

تؤثر هذه الثغرة على مكتبة FreeRDP المستخدمة على نطاق واسع لتطبيقات بروتوكول سطح المكتب البعيد. الثغرة تنشأ من عدم وجود مزامنة مناسبة عند الوصول إلى متغير معاد استخدامه، مما يسمح بحالات تنافس خطيرة. يمكن للمهاجمين استغلال هذا من خلال إنشاء اتصالات RDP متزامنة متعددة لتحرير الذاكرة…

CVE-2026-24684

FreeRDP is a free implementation of the Remote Desktop Protocol. Prior to 3.22.0, the RDPSND async playback thread can p

04:01 KSA

عالٍ CVSS 7.5 CWE-416

FreeRDP is a free implementation of the Remote Desktop Protocol. Prior to 3.22.0, the RDPSND async playback thread can process queued PDUs after the channel is closed and internal state is freed, leading to a use after free in rdpsnd_treat_wave. This vulnerability is fixed in 3.2…

CVE-2026-24762

تسرب بيانات اعتماد حساسة في سجلات التطبيق في RustFS

04:01 KSA

عالٍ CVSS 7.5 CWE-532

يسجل RustFS من الإصدارات alpha.13 إلى alpha.81 مواد اعتماد حساسة بما في ذلك مفاتيح الوصول والمفاتيح السرية ورموز الجلسة بصيغة نصية عادية في سجلات التطبيق على مستوى INFO. قد يؤدي هذا التعرض إلى اختراق أنظمة التخزين إذا تم الوصول إلى السجلات من قبل أطراف غير مصرح لها.

CVE-2026-25061

tcpflow is a TCP/IP packet demultiplexer. In versions up to and including 1.61, wifipcap parses 802.11 management frame

04:01 KSA

عالٍ CVSS 7.5 CWE-787

tcpflow is a TCP/IP packet demultiplexer. In versions up to and including 1.61, wifipcap parses 802.11 management frame elements and performs a length check on the wrong field when handling the TIM element. A crafted frame with a large TIM length can cause a 1-byte out-of-bounds …

CVE-2026-2511

The JS Help Desk – AI-Powered Support & Ticketing System plugin for WordPress is vulnerable to SQL Injection via the `mu

03:24 KSA

عالٍ CVSS 7.5 CWE-89

The JS Help Desk – AI-Powered Support & Ticketing System plugin for WordPress is vulnerable to SQL Injection via the `multiformid` parameter in the `storeTickets()` function in all versions up to, and including, 3.0.4. This is due to the user-supplied `multiformid` value being pa…

CVE-2026-25181

ثغرة قراءة خارج الحدود في Windows GDI+ للكشف عن المعلومات

03:13 KSA

عالٍ CVSS 7.5 CWE-125

ثغرة قراءة خارج الحدود في مكتبة Windows GDI+ تسمح لمهاجم غير مصرح بالوصول إلى ذاكرة النظام وقراءة بيانات حساسة. يمكن استغلال هذه الثغرة عن بعد عبر الشبكة لكشف معلومات سرية دون الحاجة إلى امتيازات إدارية.

CVE-2026-25222

ثغرة هجوم التوقيت في PolarLearn تمكن من تعداد عناوين البريد الإلكتروني

04:01 KSA

عالٍ CVSS 7.5 CWE-200

تحتوي نسخة PolarLearn 0-PRERELEASE-15 وما قبلها على ثغرة هجوم توقيت في عملية تسجيل الدخول. يمكن للمهاجمين غير المصرح لهم تحديد ما إذا كان عنوان بريد إلكتروني معين مسجلاً على المنصة من خلال قياس وقت استجابة نقطة نهاية تسجيل الدخول. يحدث هذا لأن الخادم يقوم فقط بتجزئة كلمة المرور ب…

CVE-2026-25235

تجاوز بصمة التحقق القابلة للتنبؤ في إطار عمل PEAR

04:01 KSA

عالٍ CVSS 7.5 CWE-337

تحتوي نسخ PEAR السابقة للإصدار 1.33.0 على خوارزمية تحقق ضعيفة تستخدم بصمات قابلة للتنبؤ. يمكن للمهاجمين استخدام هذا الضعف لتخمين رموز التحقق وتجاوز آليات التفويض في طلبات حسابات الانتخابات.

CVE-2026-25239

ثغرة حقن SQL في PEAR في إدراج قائمة انتظار apidoc

04:01 KSA

عالٍ CVSS 7.5 CWE-89

ثغرة حقن SQL في إطار عمل PEAR تؤثر على الإصدارات السابقة للإصدار 1.33.0 في وحدة إدراج قائمة انتظار apidoc. يمكن للمهاجمين استغلال هذه الثغرة من خلال التأثير على قيم أسماء الملفات المُدرجة لتنفيذ استعلامات SQL عشوائية. تم إصلاح هذه المشكلة في الإصدار 1.33.0 وما بعده.

CVE-2026-25499

ثغرة اجتياز المسار في إعدادات SSH لمزود Proxmox في Terraform

04:01 KSA

عالٍ CVSS 7.5 CWE-22

توثيق مزود Proxmox الخاص بـ Terraform/OpenTofu أوصت بإعدادات sudoer غير آمنة تسمح باستخدام ../ للخروج من المجلدات المقصودة. يمكن للمهاجمين الذين لديهم وصول SSH تعديل أي ملفات على النظام بدلاً من الملفات المقيدة فقط. تم إصلاح هذه المشكلة في الإصدار 0.93.1.

CVE-2026-25537

ثغرة الالتباس النوعي في مكتبة jsonwebtoken تسمح بتجاوز التحقق من مطالبات JWT

04:01 KSA

عالٍ CVSS 7.5 CWE-843

تحتوي مكتبة jsonwebtoken في Rust على ثغرة التباس نوعي تؤثر على منطق التحقق من المطالبات. عندما يتم توفير مطالبة قياسية بنوع JSON غير صحيح، تعامل المكتبة الحالة على أنها غير موجودة بدلاً من معالجتها كخطأ، مما يسمح بتجاوز فحوصات الأمان المستندة إلى الوقت.

CVE-2026-25541

تجاوز عدد صحيح في دالة BytesMut::reserve بمكتبة Bytes

04:01 KSA

عالٍ CVSS 7.5 CWE-680

تحتوي مكتبة Bytes على ثغرة تجاوز عدد صحيح في دالة BytesMut::reserve تؤثر على الإصدارات من 1.2.1 إلى 1.11.0. عند استخدام عملية جمع غير محققة، قد يؤدي التجاوز إلى تعيين قيمة سعة غير صحيحة تتجاوز الذاكرة المخصصة فعلياً. هذا يسمح بإنشاء شرائح خارج الحدود وقد يؤدي إلى سلوك غير محدد وت…

CVE-2026-25556

ثغرة تحرير مزدوج في MuPDF في فك تشفير الرموز الشريطية لعرض قائمة العرض

04:01 KSA

عالٍ CVSS 7.5 CWE-415

تحتوي نسخ MuPDF من 1.23.0 إلى 1.27.0 على ثغرة تحرير مزدوج في دالة fz_fill_pixmap_from_display_list() حيث يتم تحرير مؤشر pixmap مرتين عند حدوث استثناء أثناء معالجة قائمة العرض. يمكن استغلال هذه الثغرة من خلال معالجة ملفات PDF مصنوعة تسبب أخطاء عرض أثناء فك تشفير الرموز الشريطية، م…

CVE-2026-25561

绕过التفويض في واجهة برمجة تطبيقات تحميل المرفقات في WeKan قبل الإصدار 8.19

04:01 KSA

عالٍ CVSS 7.5 CWE-863

يحتوي WeKan على ضعف في التفويض في واجهة برمجة تطبيقات تحميل المرفقات حيث لا يتم التحقق الكامل من اتساق معرفات الكائنات مثل boardId و cardId و swimlaneId و listId. يسمح هذا الضعف للمهاجمين بمحاولة تحميل المرفقات برموز معرّفات غير متطابقة، مما قد يؤدي إلى الوصول غير المصرح به أو ال…

CVE-2026-25564

ثغرة IDOR في WeKan في إنشاء قوائم التحقق والمسارات

04:01 KSA

عالٍ CVSS 7.5 CWE-639

تحتوي WeKan على ثغرة مرجع كائن مباشر غير آمن (IDOR) في وظائف إنشاء قوائم التحقق والمسارات ذات الصلة. الثغرة تسمح للمهاجمين بالوصول والتلاعب بالبيانات عبر لوحات مختلفة من خلال تعديل معرفات البطاقات واللوحات دون التحقق من الصلاحيات.

CVE-2026-25751

كشف معلومات FUXA بدون مصادقة - تعريض بيانات اعتماد InfluxDB

04:01 KSA

عالٍ CVSS 7.5 CWE-306

تؤثر هذه الثغرة على FUXA وهي برمجية تصور العمليات المستخدمة في أنظمة SCADA و HMI والتطبيقات الصناعية. يسمح الضعف للمهاجمين بدون مصادقة بالوصول إلى بيانات اعتماد قاعدة البيانات الإدارية الحساسة. يمكن لهذا الوصول أن يؤدي إلى قراءة أو تعديل أو حذف جميع بيانات العملية التاريخية أو تن…

CVE-2026-25758

Spree is an open source e-commerce solution built with Ruby on Rails. A critical IDOR vulnerability exists in Spree Comm

04:01 KSA

عالٍ CVSS 7.5 CWE-284

Spree is an open source e-commerce solution built with Ruby on Rails. A critical IDOR vulnerability exists in Spree Commerce's guest checkout flow that allows any guest user to bind arbitrary guest addresses to their order by manipulating address ID parameters. This enables unaut…

CVE-2026-2580

The WP Maps – Store Locator,Google Maps,OpenStreetMap,Mapbox,Listing,Directory & Filters plugin for WordPress is vulnera

11:22 KSA

عالٍ CVSS 7.5 CWE-89

The WP Maps – Store Locator,Google Maps,OpenStreetMap,Mapbox,Listing,Directory & Filters plugin for WordPress is vulnerable to time-based SQL Injection via the ‘orderby’ parameter in all versions up to, and including, 4.9.1 due to insufficient escaping on the user supplied parame…

CVE-2026-25813

تعريض البيانات الحساسة في تسجيل وحدة التحكم في PlaciPy 1.0.0

04:01 KSA

عالٍ CVSS 7.5 CWE-532

يقوم نظام إدارة التوظيف PlaciPy بتسجيل بيانات حساسة مثل بيانات اعتماد المستخدمين والمعلومات الشخصية للطلاب والبيانات المالية مباشرة إلى مخرجات وحدة التحكم دون أي إجراءات حماية. يمكن لأي شخص لديه وصول إلى السجلات أو مخرجات النظام الوصول إلى هذه المعلومات الحساسة بسهولة. هذا يشكل خ…

CVE-2026-25863

Conditional Fields for Contact Form 7 WordPress plugin through version 2.6.7 contains an uncontrolled resource consumpti

15:18 KSA

عالٍ CVSS 7.5 CWE-1284

Conditional Fields for Contact Form 7 WordPress plugin through version 2.6.7 contains an uncontrolled resource consumption vulnerability in the Wpcf7cfMailParser class where the hide_hidden_mail_fields_regex_callback() method reads an iteration count directly from user-supplied P…

CVE-2026-25869

ثغرة اجتياز المسار في MiniGal Nano عبر معامل dir

04:01 KSA

عالٍ CVSS 7.5 CWE-22

تحتوي ثغرة اجتياز المسار في MiniGal Nano على آلية حماية ضعيفة تحاول إزالة تسلسلات النقاط النقطية لكن يمكن تجاوزها باستخدام أنماط دليل مصنوعة بعناية. يمكن للمهاجمين استغلال هذه الثغرة للوصول إلى ملفات الصور من مواقع غير مقصودة على النظام، مما يؤدي إلى الكشف غير المصرح به عن المعلو…

CVE-2026-25885

تجاوز المصادقة في WebSocket لـ PolarLearn في الدردشة الجماعية

04:01 KSA

عالٍ CVSS 7.5 CWE-285

ثغرة تجاوز المصادقة في نقطة نهاية WebSocket للدردشة الجماعية في PolarLearn تسمح للعملاء غير المصرح لهم بالاشتراك في أي دردشة جماعية وإرسال الرسائل باستخدام معرف UUID للمجموعة. يقبل الخادم الرسائل ويخزنها في محتوى الدردشة الجماعية، مما يؤدي إلى تلوث البيانات والتلاعب بسجلات الدردش…

CVE-2026-25961

SumatraPDF is a multi-format reader for Windows. In 3.5.0 through 3.5.2, SumatraPDF's update mechanism disables TLS host

04:01 KSA

عالٍ CVSS 7.5 CWE-295

SumatraPDF is a multi-format reader for Windows. In 3.5.0 through 3.5.2, SumatraPDF's update mechanism disables TLS hostname verification (INTERNET_FLAG_IGNORE_CERT_CN_INVALID) and executes installers without signature checks. A network attacker with any valid TLS certificate (e.…

CVE-2026-25990

Pillow is a Python imaging library. From 10.3.0 to before 12.1.1, n out-of-bounds write may be triggered when loading a

04:01 KSA

عالٍ CVSS 7.5 CWE-787

Pillow is a Python imaging library. From 10.3.0 to before 12.1.1, n out-of-bounds write may be triggered when loading a specially crafted PSD image. This vulnerability is fixed in 12.1.1.

CVE-2026-26008

ثغرة وصول خارج الحدود في EVerest بدالة UpdateAllowedEnergyTransferModes

03:24 KSA

عالٍ CVSS 7.5 CWE-125

تحتوي نسخ EVerest السابقة للإصدار 2026.02.0 على ثغرة وصول خارج الحدود (CWE-125) في معالجة رسالة UpdateAllowedEnergyTransferModes التي يرسلها نظام إدارة محطات الشحن (CSMS) عبر الشبكة. يمكن للمهاجمين استغلال هذه الثغرة لتعطيل خدمة الشحن أو إحداث تلف في الذاكرة. تم إصدار الإصلاح في …

CVE-2026-26027

GLPI is a free asset and IT management software package. From 11.0.0 to before 11.0.6, an unauthenticated user can store

23:32 KSA

عالٍ CVSS 7.5 CWE-79

GLPI is a free asset and IT management software package. From 11.0.0 to before 11.0.6, an unauthenticated user can store an XSS payload through the inventory endpoint. This vulnerability is fixed in 11.0.6.

CVE-2026-26061

Fleet is open source device management software. Prior to 4.81.0, Fleet contained multiple unauthenticated HTTP endpoint

03:24 KSA

عالٍ CVSS 7.5 CWE-770

Fleet is open source device management software. Prior to 4.81.0, Fleet contained multiple unauthenticated HTTP endpoints that read request bodies without enforcing a size limit. An unauthenticated attacker could exploit this behavior by sending large or repeated HTTP payloads, c…

CVE-2026-26078

Discourse is an open source discussion platform. Prior to versions 2025.12.2, 2026.1.1, and 2026.2.0, when the `patreon_

05:22 KSA

عالٍ CVSS 7.5 CWE-639

Discourse is an open source discussion platform. Prior to versions 2025.12.2, 2026.1.1, and 2026.2.0, when the `patreon_webhook_secret` site setting is blank, an attacker can forge valid webhook signatures by computing an HMAC-MD5 with an empty string as the key. Since the reques…

CVE-2026-26121

ثغرة SSRF في Azure IoT Explorer تمكن هجمات انتحال الهوية عبر الشبكة

03:13 KSA

عالٍ CVSS 7.5 CWE-20

تسمح ثغرة SSRF في Azure IoT Explorer للمهاجمين بتجاوز عناصر التحكم في الأمان والوصول إلى الموارد الداخلية والخارجية. يمكن للمهاجمين استخدام هذه الثغرة لانتحال هوية الخادم وتنفيذ هجمات انتحال الهوية على الأنظمة المتصلة.

CVE-2026-26127

قراءة خارج الحدود في .NET تمكن هجوم حجب الخدمة عن بعد

03:13 KSA

عالٍ CVSS 7.5 CWE-125

تحتوي هذه الثغرة على خلل في معالجة الذاكرة في إطار عمل .NET يسمح بقراءة البيانات خارج حدود الذاكرة المخصصة. يمكن للمهاجمين استغلال هذا الخلل عن بعد لإيقاف الخدمات المعتمدة على .NET. قد يؤدي الاستغلال إلى تعطل التطبيق وحجب الخدمة للمستخدمين الشرعيين.

CVE-2026-26130

ثغرة حجب الخدمة في ASP.NET Core بسبب تخصيص موارد غير محدود

03:13 KSA

عالٍ CVSS 7.5 CWE-770

تحتوي هذه الثغرة على آلية تخصيص موارد غير محدودة في ASP.NET Core مما يسمح بهجمات حجب الخدمة. يمكن للمهاجمين استنزاف ذاكرة الخادم والمعالج والموارد الأخرى دون قيود. هذا يؤثر على توفر الخدمات الحكومية والتجارية بشكل كبير.

CVE-2026-26154

ثغرة التحقق من المدخلات في خدمة تحديث Windows Server

21:54 KSA

عالٍ CVSS 7.5 CWE-20

تتعلق هذه الثغرة بفشل خدمة تحديث Windows Server في التحقق بشكل صحيح من صحة المدخلات، مما يسمح للمهاجمين بإرسال بيانات ضارة عبر الشبكة. يمكن للمهاجمين استغلال هذه الثغرة لتعديل أو استبدال التحديثات الشرعية بنسخ ضارة.

CVE-2026-26171

Uncontrolled resource consumption in .NET allows an unauthorized attacker to deny service over a network.

21:54 KSA

عالٍ CVSS 7.5 CWE-400

Uncontrolled resource consumption in .NET allows an unauthorized attacker to deny service over a network.

CVE-2026-26265

Discourse is an open source discussion platform. Prior to versions 2025.12.2, 2026.1.1, and 2026.2.0, an IDOR vulnerabil

05:22 KSA

عالٍ CVSS 7.5 CWE-863

Discourse is an open source discussion platform. Prior to versions 2025.12.2, 2026.1.1, and 2026.2.0, an IDOR vulnerability in the directory items endpoint allows any user, including anonymous users, to retrieve private user field values for all users in the directory. The `user_…

CVE-2026-26308

Envoy is a high-performance edge/middle/service proxy. Prior to 1.37.1, 1.36.5, 1.35.8, and 1.34.13, the Envoy RBAC (Rol

03:13 KSA

عالٍ CVSS 7.5 CWE-863

Envoy is a high-performance edge/middle/service proxy. Prior to 1.37.1, 1.36.5, 1.35.8, and 1.34.13, the Envoy RBAC (Role-Based Access Control) filter contains a logic vulnerability in how it validates HTTP headers when multiple values are present for the same header name. Instea…

CVE-2026-32834

ثغرة تجاوز المصادقة في إضافة Easy PayPal Events & Tickets عبر Hash مشفر

08:48 KSA

عالٍ CVSS 7.5 CWE-798

تحتوي إضافة Easy PayPal Events & Tickets للإصدارات 1.3 وما قبلها على ثغرة تجاوز مصادقة مشفرة في وظيفة مسح رموز QR تسمح للمهاجمين غير المصرح لهم بالوصول إلى بيانات الطلبات الحساسة. يمكن للمهاجمين استرجاع معرفات معاملات PayPal وعناوين البريد الإلكتروني للعملاء والمبالغ المشتراة ومع…

CVE-2026-41395

ثغرة إعادة تشغيل Webhook في OpenClaw في التحقق من توقيع Plivo V3

05:54 KSA

عالٍ CVSS 7.5 CWE-325

تحتوي ثغرة OpenClaw على عدم تطابق في معالجة معاملات الاستعلام حيث يتم تطبيع الترتيب للتوقيع ولكن يتم تجزئة عناوين URL الخام لكشف الإعادة. يمكن للمهاجمين الذين يمتلكون webhook موقع صحيح إعادة ترتيب المعاملات لتجاوز الكشف عن الإعادة وتشغيل معالجة مكررة للمكالمات الصوتية. قد يؤدي هذ…

CVE-2026-41399

ثغرة حجب الخدمة في OpenClaw لترقيات WebSocket غير المحدودة

05:54 KSA

عالٍ CVSS 7.5 CWE-770

تقبل OpenClaw قبل الإصدار 2026.3.28 ترقيات WebSocket متزامنة غير محدودة من المهاجمين غير المصرحين دون تخصيص ميزانية مسبقة للمصادقة. يمكن للمهاجمين استنزاف سعة المقابس والعمال لتعطيل توفر WebSocket للعملاء الشرعيين.

CVE-2026-41405

OpenClaw before 2026.3.31 parses MS Teams webhook request bodies before performing JWT validation, allowing unauthentica

05:54 KSA

عالٍ CVSS 7.5 CWE-408

OpenClaw before 2026.3.31 parses MS Teams webhook request bodies before performing JWT validation, allowing unauthenticated attackers to trigger resource exhaustion. Remote attackers can send malicious Teams webhook payloads to exhaust server resources by bypassing authentication…

CVE-2026-41471

Easy PayPal Events & Tickets plugin for WordPress versions 1.3 and earlier contain an information disclosure vulnerabili

11:33 KSA

عالٍ CVSS 7.5 CWE-639

Easy PayPal Events & Tickets plugin for WordPress versions 1.3 and earlier contain an information disclosure vulnerability in the QR code scanning endpoint that allows unauthenticated attackers to enumerate and retrieve all customer order records. Attackers can iterate over seque…

CVE-2026-42226

n8n is an open source workflow automation platform. Prior to versions 1.123.33 and 2.17.5, the dynamic-node-parameters e

15:18 KSA

عالٍ CVSS 7.5 CWE-862

n8n is an open source workflow automation platform. Prior to versions 1.123.33 and 2.17.5, the dynamic-node-parameters endpoints did not verify whether the authenticated caller was authorized to use a supplied credential reference. An authenticated user with access to a shared wo…

CVE-2026-42236

استنزاف موارد n8n MCP OAuth غير المصرح به لرفض الخدمة

18:32 KSA

عالٍ CVSS 7.5 CWE-770

ثغرة CVE-2026-42236 تسمح للمهاجمين غير المصرحين بإرسال طلبات تسجيل عميل كبيرة إلى نقطة نهاية MCP OAuth في n8n دون المصادقة. يؤدي هذا إلى استنزاف موارد الخادم وإحداث رفض الخدمة حتى لو تم تعطيل وصول MCP. الثغرة تؤثر على جميع الإصدارات السابقة للإصدارات المصححة المحددة.

CVE-2025-59960

An Improper Check for Unusual or Exceptional Conditions vulnerability in the Juniper DHCP service (jdhcpd) of Juniper Ne

04:01 KSA

عالٍ CVSS 7.4 CWE-754

An Improper Check for Unusual or Exceptional Conditions vulnerability in the Juniper DHCP service (jdhcpd) of Juniper Networks Junos OS and Junos OS Evolved allows a DHCP client in one subnet to exhaust the address pools of other subnets, leading to a Denial of Service (DoS) on t…

CVE-2025-65117

The vulnerability, if exploited, could allow an authenticated miscreant (Process Optimization Designer User) to embed O

04:01 KSA

عالٍ CVSS 7.4 CWE-676

The vulnerability, if exploited, could allow an authenticated miscreant (Process Optimization Designer User) to embed OLE objects into graphics, and escalate their privileges to the identity of a victim user who subsequently interacts with the graphical elements.

CVE-2026-21521

Improper neutralization of escape, meta, or control sequences in Copilot allows an unauthorized attacker to disclose inf

04:01 KSA

عالٍ CVSS 7.4 CWE-150

Improper neutralization of escape, meta, or control sequences in Copilot allows an unauthorized attacker to disclose information over a network.

CVE-2026-21524

Exposure of sensitive information to an unauthorized actor in Azure Data Explorer allows an unauthorized attacker to dis

04:01 KSA

عالٍ CVSS 7.4 CWE-200

Exposure of sensitive information to an unauthorized actor in Azure Data Explorer allows an unauthorized attacker to disclose information over a network.

CVE-2026-21932

Vulnerability in the Oracle Java SE, Oracle GraalVM for JDK, Oracle GraalVM Enterprise Edition product of Oracle Java SE

04:01 KSA

عالٍ CVSS 7.4

Vulnerability in the Oracle Java SE, Oracle GraalVM for JDK, Oracle GraalVM Enterprise Edition product of Oracle Java SE (component: AWT, JavaFX). Supported versions that are affected are Oracle Java SE: 8u471, 8u471-b50, 8u471-perf, 11.0.29, 17.0.17, 21.0.9, 25.0.1; Oracle Graa…

CVE-2026-22816

Gradle is a build automation tool, and its native-platform tool provides Java bindings for native APIs. When resolving d

04:01 KSA

عالٍ CVSS 7.4 CWE-494

Gradle is a build automation tool, and its native-platform tool provides Java bindings for native APIs. When resolving dependencies in versions before 9.3.0, some exceptions were not treated as fatal errors and would not cause a repository to be disabled. If a build encountered o…

CVE-2026-22865

Gradle is a build automation tool, and its native-platform tool provides Java bindings for native APIs. When resolving d

04:01 KSA

عالٍ CVSS 7.4 CWE-494

CVE-2026-24052

تجاوز التحقق من صحة عنوان URL في آلية التحقق من النطاقات الموثوقة في Claude Code

04:01 KSA

عالٍ CVSS 7.4 CWE-601

يستخدم Claude Code دالة startsWith() للتحقق من النطاقات الموثوقة، مما يسمح بتسجيل نطاقات مشابهة مثل modelcontextprotocol.io.example.com التي تتجاوز التحقق. يمكن للمهاجمين استغلال هذا الضعف لتوجيه طلبات تلقائية إلى خوادمهم واستخراج بيانات حساسة دون موافقة المستخدم.

CVE-2026-25167

Use after free in Microsoft Brokering File System allows an unauthorized attacker to elevate privileges locally.

03:13 KSA

عالٍ CVSS 7.4 CWE-416

Use after free in Microsoft Brokering File System allows an unauthorized attacker to elevate privileges locally.

CVE-2026-25569

A vulnerability has been identified in SICAM SIAPP SDK (All versions < V2.1.7). An out-of-bounds write vulnerability exi

03:13 KSA

عالٍ CVSS 7.4 CWE-787

A vulnerability has been identified in SICAM SIAPP SDK (All versions < V2.1.7). An out-of-bounds write vulnerability exists in SICAM SIAPP SDK. This could allow an attacker to write data beyond the intended buffer, potentially leading to denial of service, or arbitrary code execu…

CVE-2026-25570

A vulnerability has been identified in SICAM SIAPP SDK (All versions < V2.1.7). The SICAM SIAPP SDK does not perform che

03:13 KSA

عالٍ CVSS 7.4 CWE-121

A vulnerability has been identified in SICAM SIAPP SDK (All versions < V2.1.7). The SICAM SIAPP SDK does not perform checks on input values potentially resulting in stack overflow. This could allow an attacker to perform code execution and denial of service.

CVE-2026-25573

ثغرة حقن الأوامر في SICAM SIAPP SDK (CVE-2026-25573)

03:13 KSA

عالٍ CVSS 7.4 CWE-73

تؤثر هذه الثغرة على مكتبة SICAM SIAPP SDK في جميع الإصدارات السابقة للإصدار V2.1.7 وتسمح بحقن أوامر shell من خلال سلاسل يوفرها المتصل. يمكن للمهاجمين استغلال هذه الثغرة للتحكم الكامل في الأنظمة الصناعية والبنية التحتية الحرجة.

CVE-2026-27579

CollabPlatform is a full-stack, real-time doc collaboration platform. In all versions of CollabPlatform, the Appwrite pr

11:14 KSA

عالٍ CVSS 7.4 CWE-346

CollabPlatform is a full-stack, real-time doc collaboration platform. In all versions of CollabPlatform, the Appwrite project used by the application is misconfigured to allow arbitrary origins in CORS responses while also permitting credentialed requests. An attacker-controlled …

CVE-2026-33247

NATS-Server is a High-Performance server for NATS.io, a cloud and edge native messaging system. Prior to versions 2.11.1

11:08 KSA

عالٍ CVSS 7.4 CWE-215

NATS-Server is a High-Performance server for NATS.io, a cloud and edge native messaging system. Prior to versions 2.11.15 and 2.12.6, if a nats-server is run with static credentials for all clients provided via argv (the command-line), then those credentials are visible to any us…

CVE-2026-33488

WWBN AVideo is an open source video platform. In versions up to and including 26.0, the `createKeys()` function in the L

11:22 KSA

عالٍ CVSS 7.4 CWE-326

WWBN AVideo is an open source video platform. In versions up to and including 26.0, the `createKeys()` function in the LoginControl plugin's PGP 2FA system generates 512-bit RSA keys, which have been publicly factorable since 1999. An attacker who obtains a target user's public k…

CVE-2026-33745

cpp-httplib is a C++11 single-file header-only cross platform HTTP/HTTPS library. Prior to 0.39.0, the cpp-httplib HTTP

03:24 KSA

عالٍ CVSS 7.4 CWE-200

cpp-httplib is a C++11 single-file header-only cross platform HTTP/HTTPS library. Prior to 0.39.0, the cpp-httplib HTTP client forwards stored Basic Auth, Bearer Token, and Digest Auth credentials to arbitrary hosts when following cross-origin HTTP redirects (301/302/307/308). A …

CVE-2026-33771

A Weak Password Requirements vulnerability in the password management function of Juniper Networks CTP OS might allow an

21:26 KSA

عالٍ CVSS 7.4 CWE-521

A Weak Password Requirements vulnerability in the password management function of Juniper Networks CTP OS might allow an unauthenticated, network-based attacker to exploit weak passwords of local accounts and potentially take full control of the device. The password management m…

CVE-2026-33797

An Improper Input Validation vulnerability in Juniper Networks Junos OS and Junos OS Evolved allows an unauthenticated,

21:26 KSA

عالٍ CVSS 7.4 CWE-20

An Improper Input Validation vulnerability in Juniper Networks Junos OS and Junos OS Evolved allows an unauthenticated, adjacent attacker, sending a specific genuine BGP packet in an already established BGP session to reset only that session causing a Denial of Service (DoS). An…

CVE-2026-35629

OpenClaw before 2026.3.25 contains a server-side request forgery vulnerability in multiple channel extensions that fail

21:26 KSA

عالٍ CVSS 7.4 CWE-918

OpenClaw before 2026.3.25 contains a server-side request forgery vulnerability in multiple channel extensions that fail to properly guard configured base URLs against SSRF attacks. Attackers can exploit unprotected fetch() calls against configured endpoints to rebind requests to …

CVE-2026-42366

Multiple reflected cross-site scripting (xss) vulnerabilities exist in the Web Interface / ssi.cgi functionality of GeoV

10:36 KSA

عالٍ CVSS 7.4 CWE-79

Multiple reflected cross-site scripting (xss) vulnerabilities exist in the Web Interface / ssi.cgi functionality of GeoVision LPC2011/LPC2211 1.10. A specially crafted malicious url can lead to an arbitrary javascript code execution. An attacker can provide a crafted URL to trigg…

CVE-2026-7371

Multiple reflected cross-site scripting (xss) vulnerabilities exist in the Web Interface / ssi.cgi functionality of GeoV

10:36 KSA

عالٍ CVSS 7.4 CWE-79

CVE-2026-41380

OpenClaw before 2026.3.28 contains an execution approval vulnerability in exec-approvals-allowlist.ts that allows allow-

05:54 KSA

عالٍ CVSS 7.3 CWE-807

OpenClaw before 2026.3.28 contains an execution approval vulnerability in exec-approvals-allowlist.ts that allows allow-always persistence to trust wrapper carrier executables instead of invoked targets. Attackers can exploit positional carrier executable routing through dispatch…

CVE-2026-41390

OpenClaw before 2026.3.28 contains an exec allowlist bypass vulnerability where allow-always persistence fails to unwrap

05:54 KSA

عالٍ CVSS 7.3 CWE-807

OpenClaw before 2026.3.28 contains an exec allowlist bypass vulnerability where allow-always persistence fails to unwrap /usr/bin/script and similar wrappers before storing trust decisions. Attackers can obtain user approval for one wrapped command to persist trust for wrapper bi…

CVE-2026-7314

ثغرة اجتياز المسار في وظيفة get_doc_path بخادم eiceblue spire-doc-mcp-server 1.0.0

05:54 KSA

عالٍ CVSS 7.3 CWE-22

ثغرة اجتياز المسار في eiceblue spire-doc-mcp-server 1.0.0 تسمح للمهاجمين البعيدين بالوصول إلى ملفات خارج المجلد المقصود من خلال التلاعب بمعامل اسم المستند. الثغرة موجودة في وظيفة get_doc_path في ملف src/spire_doc_mcp/api/base.py وتتمتع بأكواد استغلال عامة متاحة.

CVE-2026-7315

ثغرة اجتياز المسار في معالج PDF لـ eiceblue spire-pdf-mcp-server 0.1.1

05:54 KSA

عالٍ CVSS 7.3 CWE-22

ثغرة اجتياز المسار في مكون معالج ملفات PDF بـ eiceblue spire-pdf-mcp-server 0.1.1 تسمح للمهاجمين بالوصول إلى ملفات عشوائية على النظام من خلال التلاعب بمعامل filepath. الثغرة قابلة للاستغلال عن بعد ولديها استغلال منشور متاح للجمهور. المطورون لم يستجيبوا بعد للإبلاغ عن المشكلة.

CVE-2026-7316

ثغرة حقن الأوامر في مكون code_with_ai بـ aider-mcp

05:54 KSA

عالٍ CVSS 7.3 CWE-74

ثغرة حقن أوامر في مكون code_with_ai بـ aider-mcp تسمح بتنفيذ أوامر تعسفية عبر معاملات working_dir و editable_files. الهجوم يمكن أن يتم بشكل بعيد دون مصادقة، مما يؤثر على سرية وتكامل البيانات. المشروع لم يستجب بعد لتقارير المشكلة.

CVE-2026-7319

ثغرة اجتياز المسار في أداة add_action بـ elinsky execution-system-mcp 0.1.0

05:54 KSA

عالٍ CVSS 7.3 CWE-22

ثغرة اجتياز المسار في elinsky execution-system-mcp 0.1.0 تسمح للمهاجمين البعيدين بمعالجة معاملات السياق بشكل ضار للوصول إلى ملفات خارج المجلد المقصود. تقع الثغرة في دالة _get_context_file_path ولم يتم تطبيق التحقق الكافي من صحة المدخلات. قد يؤدي الاستغلال إلى الكشف عن معلومات حسا…

CVE-2026-7384

ثغرة اجتياز المسار في دالة البحث عن الأوراق البحثية

07:54 KSA

عالٍ CVSS 7.3 CWE-22

تم اكتشاف ثغرة اجتياز مسار في مكتبة mcp-bases تؤثر على دالة البحث عن الأوراق البحثية. يمكن للمهاجمين البعيدين استغلال هذه الثغرة بمعالجة معامل topic للوصول إلى ملفات غير مصرح بها. الاستغلالات العامة متاحة الآن مما يزيد من خطر الهجمات.

CVE-2026-7386

ثغرة المسار في معامل message_ids في fatbobman mail-mcp-bridge

07:54 KSA

عالٍ CVSS 7.3 CWE-22

ثغرة المسار (Path Traversal) في fatbobman mail-mcp-bridge تسمح للمهاجمين بالتلاعب بمعامل message_ids للوصول إلى ملفات خارج الدليل المقصود. يمكن تنفيذ الهجوم عن بعد وقد تم نشر الاستغلال بالفعل.

CVE-2026-7389

حقن SQL في EyouCMS في دالة GetSortData عبر معامل sort_asc

07:54 KSA

عالٍ CVSS 7.3 CWE-74

تم اكتشاف ثغرة حقن SQL في EyouCMS حتى الإصدار 1.7.9 في دالة GetSortData بملف application/common.php. يمكن للمهاجمين استغلال معامل sort_asc لتنفيذ استعلامات SQL عشوائية والوصول إلى بيانات حساسة أو تعديلها. تم الإفصاح العام عن الثغرة ولم يستجب المطورون بعد.

CVE-2026-7398

A weakness has been identified in florensiawidjaja BioinfoMCP up to 7ada7918b9e515604d3c0ae264d3a9af10bf6e54. This vulne

07:54 KSA

عالٍ CVSS 7.3 CWE-22

A weakness has been identified in florensiawidjaja BioinfoMCP up to 7ada7918b9e515604d3c0ae264d3a9af10bf6e54. This vulnerability affects the function Upload of the file bioinfo_mcp_platform/app.py of the component Upload Endpoint. This manipulation of the argument Name causes pat…

CVE-2026-7400

A security vulnerability has been detected in geekgod382 filesystem-mcp-server 1.0.0. This issue affects the function is

18:32 KSA

عالٍ CVSS 7.3 CWE-22

A security vulnerability has been detected in geekgod382 filesystem-mcp-server 1.0.0. This issue affects the function is_path_allowed of the file server.py of the component read_file_tool/write_file_tool. Such manipulation leads to path traversal. The attack can be launched remot…

CVE-2026-7404

A weakness has been identified in getsimpletool mcpo-simple-server up to 0.2.0. Affected is the function delete_shared_p

18:32 KSA

عالٍ CVSS 7.3 CWE-22

A weakness has been identified in getsimpletool mcpo-simple-server up to 0.2.0. Affected is the function delete_shared_prompt of the file src/mcpo_simple_server/services/prompt_manager/base_manager.py. This manipulation of the argument detail causes relative path traversal. It is…

CVE-2026-7416

A vulnerability was found in PolarVista xcode-mcp-server 1.0.0. This issue affects the function build_project/run_tests

18:32 KSA

عالٍ CVSS 7.3 CWE-77

A vulnerability was found in PolarVista xcode-mcp-server 1.0.0. This issue affects the function build_project/run_tests of the file src/index.ts of the component MCP Interface. The manipulation of the argument Request results in os command injection. The attack may be launched re…

CVE-2026-7417

A vulnerability was found in Algovate xhs-mcp 0.8.11. This affects the function xhs_publish_content of the file src/serv

18:32 KSA

عالٍ CVSS 7.3 CWE-918

A vulnerability was found in Algovate xhs-mcp 0.8.11. This affects the function xhs_publish_content of the file src/server/mcp.server.ts of the component MCP Interface. Performing a manipulation of the argument media_paths results in server-side request forgery. The attack may be…

CVE-2026-7443

A weakness has been identified in BurtTheCoder mcp-dnstwist up to 1.0.4. Affected by this vulnerability is the function

20:54 KSA

عالٍ CVSS 7.3 CWE-77

A weakness has been identified in BurtTheCoder mcp-dnstwist up to 1.0.4. Affected by this vulnerability is the function fuzz_domain of the file src/index.ts of the component MCP Interface. Executing a manipulation of the argument Request can lead to os command injection. The atta…

CVE-2026-7446

A vulnerability was detected in VetCoders mcp-server-semgrep 1.0.0. This affects the function analyze_results/filter_res

20:54 KSA

عالٍ CVSS 7.3 CWE-77

A vulnerability was detected in VetCoders mcp-server-semgrep 1.0.0. This affects the function analyze_results/filter_results/export_results/compare_results/scan_directory/create_rule of the file src/index.ts of the component MCP Interface. The manipulation of the argument ID resu…

CVE-2026-7710

A security flaw has been discovered in YunaiV yudao-cloud up to 3.8.0. This affects the function doFilterInternal of the

09:19 KSA

عالٍ CVSS 7.3 CWE-287

A security flaw has been discovered in YunaiV yudao-cloud up to 3.8.0. This affects the function doFilterInternal of the file JwtAuthenticationTokenFilter.java of the component Ruoyi-Vue-Pro. Performing a manipulation of the argument mock-token results in improper authentication.…

CVE-2026-7711

تحميل ملفات غير مقيد في معالج محرك MindsDB (CVE-2026-7711)

12:17 KSA

عالٍ CVSS 7.3 CWE-284

تم اكتشاف ضعف في MindsDB يسمح بتحميل ملفات غير مقيد عبر مكون معالج المحرك. يمكن للمهاجمين البعيدين استغلال هذه الثغرة لتحميل ملفات عشوائية على النظام دون الحاجة إلى مصادقة. تم الإفصاح العام عن الثغرة ولم يستجب البائع للإخطار المبكر.

CVE-2026-7733

رفع ملفات غير مقيد في خدمة funadmin UploadService::chunkUpload

12:17 KSA

عالٍ CVSS 7.3 CWE-284

يؤثر هذا الثغر على وظيفة UploadService::chunkUpload في ملف app/common/service/UploadService.php ويسمح برفع الملفات دون قيود. يمكن للمهاجمين البعيدين استغلال هذه الثغرة لرفع ملفات ضارة مثل أصداف الويب أو البرامج الضارة.

CVE-2026-7735

ثغرة تجاوز المخزن المؤقت في محلل سمة AIGP في GoBGP

12:17 KSA

عالٍ CVSS 7.3 CWE-119

تم اكتشاف ثغرة تجاوز المخزن المؤقت في دالة PathAttributeAigp.DecodeFromBytes في ملف pkg/packet/bgp/bgp.go من مكون محلل سمة AIGP في GoBGP. يمكن استغلال هذه الثغرة عن بعد من خلال معالجة خاصة لسمات AIGP في رسائل BGP.

CVE-2026-7736

ثغرة تجاوز عدد صحيح في دالة parseRibEntry في osrg GoBGP

15:42 KSA

عالٍ CVSS 7.3 CWE-189

ثغرة تجاوز عدد صحيح في دالة parseRibEntry بملف pkg/packet/mrt/mrt.go في osrg GoBGP تسمح بالاستغلال عن بعد. يمكن للمهاجمين التلاعب بمعالجة بيانات MRT لتجاوز حدود الأعداد الصحيحة مما قد يؤدي إلى سلوك غير متوقع.

CVE-2026-3120

Improper Control of Generation of Code ('Code Injection') vulnerability in Profelis Information and Consulting Trade and

19:23 KSA

عالٍ CVSS 7.2 CWE-94

Improper Control of Generation of Code ('Code Injection') vulnerability in Profelis Information and Consulting Trade and Industry Limited Company SambaBox allows OS Command Injection. This issue affects SambaBox: from 5.1 before 5.3.

CVE-2026-42429

تصعيد امتيازات بوابة OpenClaw عبر مصادقة HTTP

05:54 KSA

عالٍ CVSS 7.1 CWE-863

تحتوي ثغرة تصعيد الامتيازات في آلية مصادقة HTTP بمكون بوابة OpenClaw على عيب يسمح للمهاجمين بتحويل طلبات محدودة النطاق (قراءة) إلى صلاحيات كتابة كاملة. يمكن استغلال هذا الضعف بإرسال طلبات مصادقة مزيفة عبر مسار البوابة للحصول على وصول غير مصرح به لتعديل عمليات وقت التشغيل.

CVE-2026-43616

Detect-It-Easy prior to 3.21 contains a path traversal vulnerability that allows attackers to write arbitrary files to t

11:33 KSA

عالٍ CVSS 7.1 CWE-23

Detect-It-Easy prior to 3.21 contains a path traversal vulnerability that allows attackers to write arbitrary files to the filesystem by crafting malicious archive entries with relative traversal sequences or absolute paths. Attackers can exploit insufficient path normalization d…

CVE-2025-47401

Transient DOS when processing target power rate tables during channel configuration.

23:21 KSA

متوسط CVSS 6.5 CWE-126

Transient DOS when processing target power rate tables during channel configuration.

CVE-2025-47403

Transient DOS when processing a malformed Fast Transition response frame with an invalid header structure during wireles

23:21 KSA

متوسط CVSS 6.5 CWE-126

Transient DOS when processing a malformed Fast Transition response frame with an invalid header structure during wireless roaming.

CVE-2025-47404

Memory corruption when dynamically changing the size of a previously allocated buffer while its contents are being modif

23:21 KSA

متوسط CVSS 6.5 CWE-120

Memory corruption when dynamically changing the size of a previously allocated buffer while its contents are being modified.

CVE-2026-42227

تجاوز التفويض في واجهة برمجة تطبيقات n8n - الوصول غير المصرح للمتغيرات عبر معرف المشروع

02:18 KSA

متوسط CVSS 6.5 CWE-639

ثغرة في منصة n8n لأتمتة سير العمل تسمح للمستخدمين المصرحين بقراءة متغيرات المشاريع التي لا ينتمون إليها من خلال تزويد معرف مشروع عشوائي. المشكلة تنشأ من عدم فرض فحوصات عضوية المشروع في معالج API العام. يؤثر هذا على نشرات المؤسسات والفريق فقط حيث قد تحتوي المتغيرات على بيانات حساس…

CVE-2026-42228

تجاوز التفويض في WebSocket للدردشة في منصة أتمتة سير العمل n8n

02:18 KSA

متوسط CVSS 6.5 CWE-862

يؤثر هذا الضعف على ميزة Hosted Chat في منصة n8n حيث لا يتم التحقق من تفويض الاتصالات الواردة على نقطة نهاية WebSocket /chat. يمكن لمهاجم غير مصرح الوصول إلى معرف تنفيذ صحيح واعتراض الرسائل المعلقة وتقديم مدخلات تعسفية. هذا يسمح بالتأثير على سلوك سير العمل اللاحق والحصول على بيانا…

CVE-2026-7714

ثغرة المصادقة المفقودة في نقطة نهاية المسؤول في Calibre-Web-Automated

09:18 KSA

متوسط CVSS 6.5 CWE-287

تؤثر هذه الثغرة على مكون Admin Endpoint في ملف cps/cwa_functions.py حيث يفتقد التحقق من المصادقة. يمكن للمهاجمين البعيدين الوصول إلى الوظائف الإدارية الحساسة دون توفير بيانات اعتماد صحيحة. تم نشر استغلال عملي لهذه الثغرة بالفعل.

CVE-2026-7744

ثغرة حقن SQL في معامل fname في CodeAstro Online Classroom 1.0

17:16 KSA

متوسط CVSS 6.3 CWE-74

ثغرة حقن SQL في CodeAstro Online Classroom 1.0 تسمح للمهاجمين البعيدين بالتلاعب بمعامل fname في نقطة نهاية /OnlineClassroom/addnewstudent. تم الإفصاح العلني عن هذه الثغرة مما يزيد من خطر الاستغلال الفوري. يمكن للمهاجمين الوصول إلى بيانات قاعدة البيانات الحساسة أو تعديلها أو حذفها…

CVE-2026-7738

ثغرة عبور المسار في واجهة puchunjie doc-tools-mcp 1.0.18 MCP

14:48 KSA

متوسط CVSS 6.3 CWE-22

ثغرة عبور المسار في مكون MCP Interface من puchunjie doc-tools-mcp 1.0.18 تسمح للمهاجمين بالوصول إلى الملفات الحساسة خارج المجلدات المقصودة. يمكن استغلال الثغرة عن بعد من خلال معامل filePath في وظائف create_document و open_document. تم الإفصاح العام عن الثغرة ولم يستجب المطورون لل…

CVE-2026-7741

ثغرة حقن SQL في نظام CodeAstro للفصول الدراسية الإلكترونية 1.0

14:48 KSA

متوسط CVSS 6.3 CWE-74

ثغرة حقن SQL في نظام CodeAstro Online Classroom الإصدار 1.0 تؤثر على وظيفة تسجيل دخول الطلاب عبر معامل sid. يمكن للمهاجمين البعيدين استغلال هذه الثغرة المكشوفة علناً للوصول غير المصرح به إلى قاعدة البيانات وتعديل البيانات.

⚠️ استخبارات التهديدات

34 تهديد

rss:BleepingComputer

—

03:48 KSA

عالٍ phishing

الباحثون يبلغون عن إساءة استخدام خدمة Amazon SES في هجمات التصيد الاحتيالي يتم استغلال خدمة Amazon Simple Email Service (SES) من قبل الجهات الفاعلة الضارة لتنفيذ حملات التصيد الاحتيالي التي تتجاوز مرشحات الأمان التقليدية وآليات الكشف القائمة على السمعة. يسمح هذا…

rss:Recorded Future

—

04:16 KSA

منخفض general

العمل في لندن بأكبر شركة استخبارات في العالم تصف المقالة ثقافة العمل والفرص الوظيفية في مكتب Recorded Future بلندن، وهي شركة رائدة في استخبارات الأمن السيبراني. على الرغم من عدم تناولها للتهديدات مباشرة، فإنها توفر نظرة ثاقبة على عمليات منظمة استخبارات التهديدات

rss:Dark Reading

—

04:16 KSA

حرج vulnerability

استغلال الثغرات الحرجة في cPanel يهدد ملايين المستخدمين أدت ثغرة حرجة في المصادقة في cPanel إلى موجة من نشاط الاستغلال، مع إطلاق عدة استغلالات إثبات المفهوم وأدلة على استغلال يوم صفر لمدة شهر واحد على الأقل. تشكل الثغرة خطراً كبيراً على ملايين المواقع الإلكتروني…

rss:Dark Reading

—

04:16 KSA

عالٍ phishing

أدوات المراقبة والإدارة البعيدة تغذي حملة تصيد احتيالي متخفية يقوم المهاجمون باستغلال أدوات المراقبة والإدارة البعيدة لتنفيذ حملات تصيد احتيالي متطورة أثرت على أكثر من 80 منظمة. يسمح الاستخدام الخاطئ لأدوات إدارة شرعية للمهاجمين بتجاوز آليات الكشف الأمنية التقلي…

rss:BleepingComputer

—

04:16 KSA

عالٍ phishing

خدمة Amazon SES تُستخدم بشكل متزايد في هجمات التصيد الاحتيالي لتجاوز الكشف يتم استخدام خدمة Amazon Simple Email Service (SES) بشكل متزايد من قبل الجهات الفاعلة الضارة لإرسال رسائل تصيد احتيالي متطورة تتجاوز مرشحات الأمان القياسية وتهزم آليات الحجب القائمة على ال…

rss:SecurityWeek

—

01:54 KSA

عالٍ general

سيسكو تتحرك للاستحواذ على Astrix Security للتعامل مع مخاطر الهويات غير البشرية تستحوذ سيسكو على شركة Astrix Security لتعزيز قدراتها الأمنية المركزة على الهوية لإدارة وصول الذكاء الاصطناعي والآلات. تعالج هذه الخطوة الاستراتيجية المخاطر الناشئة من الهويات غير البش…

rss:The Hacker News

—

01:54 KSA

حرج phishing

حملة تصيد احتيالي تستهدف أكثر من 80 منظمة باستخدام أدوات SimpleHelp و ScreenConnect حملة تصيد احتيالي نشطة تُعرف باسم VENOMOUS#HELPER استهدفت أكثر من 80 منظمة منذ أبريل 2025، مستغلة أدوات المراقبة والإدارة الشرعية (SimpleHelp و ScreenConnect) لإنشاء وصول بعيد مس…

rss:SecurityWeek

—

23:32 KSA

عالٍ supply_chain

مستودع كود Trellix تعرض للاختراق تعرض مستودع الكود الخاص بشركة Trellix للاختراق، لكن التحقيقات الأولية لم تكشف عن أي تأثير على عمليات إصدار أو توزيع الكود. يسلط هذا الحادث الضوء على مخاطر أمان البنية التحتية لتطوير البرمجيات.

rss:The Hacker News

—

23:32 KSA

حرج general

الملخص الأسبوعي: التصيد الاحتيالي المدعوم بالذكاء الاصطناعي وأداة التجسس على Android وثغرة Linux و RCE في GitHub والمزيد ملخص أمني أسبوعي يسلط الضوء على تهديدات حرجة متعددة تشمل هجمات التصيد الاحتيالي المدعومة بالذكاء الاصطناعي وبرامج التجسس على Android وثغرات ن…

rss:The Hacker News

—

23:32 KSA

حرج vulnerability

Progress تصدر تحديثات لإصلاح ثغرة حرجة في MOVEit Automation تسمح بتجاوز المصادقة أصدرت Progress Software تحديثات أمنية لمعالجة ثغرتين في MOVEit Automation، وهو حل لنقل الملفات المُدار. يمكن لثغرة تجاوز المصادقة الحرجة أن تسمح للمهاجمين بالوصول غير المصرح به إلى …

rss:BleepingComputer

—

23:32 KSA

عالٍ data_breach

تريليكس تكشف عن خرق بيانات بعد اختراق مستودع الكود المصدري كشفت شركة تريليكس عن خرق بيانات بعد حصول المهاجمين على وصول غير مصرح به إلى مستودع الكود المصدري الخاص بها. أدى الخرق إلى تعريض جزء من الكود المصدري الملكي للشركة والمعلومات الحساسة المتعلقة بالتطوير. يس…

rss:BleepingComputer

—

23:32 KSA

حرج supply_chain

حزمة PyTorch Lightning المخترقة تسرب سارق بيانات الاعتماد حزمة PyTorch Lightning ضارة على منصة PyPI تحتوي على برنامج سرقة بيانات الاعتماد يستهدف المتصفحات وملفات البيئة والخدمات السحابية. يشكل هذا الهجوم على سلسلة التوريد خطراً كبيراً على المطورين الذين يستخدمون…

rss:Malwarebytes Lab

—

21:27 KSA

عالٍ general

الهجمات الإلكترونية ترفع أسعارك (Lock and Code S07E09) حلقة بودكاست تناقش كيف تساهم الهجمات الإلكترونية على الشركات الصغيرة في زيادة التكاليف على المستهلكين من خلال 'ضريبة سيبر'. تتضمن الحلقة رؤى من إيفا فيلاسكيز حول التأثير الاقتصادي لانتهاكات الأمن السيبراني ع…

rss:Dark Reading

—

21:26 KSA

حرج apt

مجموعة Silver Fox تشن هجمات موضوعها الضرائب على منظمات في الهند وروسيا أطلقت مجموعة Silver Fox المدعومة من الصين أكثر من 1,600 هجوم مهندس اجتماعياً يستهدف منظمات في الهند وروسيا عبر قطاعات متعددة. حملت الحملة برامج ضارة غير موثقة سابقاً بما في ذلك باب خلفي ABCDo…

rss:BleepingComputer

—

21:26 KSA

عالٍ fraud

لا يقومون بالاختراق، بل يستعيرون: كيف يستهدف المحتالون الاتحادات الائتمانية يستغل المحتالون العمليات التجارية الشرعية في الاتحادات الائتمانية بدلاً من استخدام طرق الاختراق التقنية. تستخدم مخططات الاحتيال في القروض الهيكلية هويات مسروقة للالتفاف حول أنظمة التحقق …

rss:SecurityWeek

—

19:48 KSA

منخفض general

ملخص عمليات الاندماج والاستحواذ في مجال الأمن السيبراني: 33 صفقة معلنة في أبريل 2026 أعلنت عدة شركات أمن سيبراني كبرى بما فيها Palo Alto Networks و Fortra عن 33 صفقة اندماج واستحواذ في أبريل 2026، مما يعكس توحيداً كبيراً في صناعة الأمن السيبراني. تهدف هذه الاستح…

rss:SecurityWeek

—

19:48 KSA

حرج malware

DigiCert تلغي الشهادات الرقمية بعد اختراق بوابة الدعم تم اختراق بوابة دعم العملاء في DigiCert بعد أن قام المهاجمون بتسليم برامج ضارة عبر قناة الدردشة مع العملاء، مما أدى إلى إصابة نظام محلل وحصولهم على وصول غير مصرح به. قامت الشركة بإلغاء الشهادات الرقمية كإجراء…

rss:The Hacker News

—

19:48 KSA

عالٍ phishing

مجموعة Silver Fox تنشر برنامج ABCDoor الخبيث عبر رسائل تصيد احتيالية موضوعها الضرائب في الهند وروسيا أطلقت مجموعة الجرائم الإلكترونية الصينية Silver Fox حملة لنشر برنامج ABCDoor الخبيث ضد المنظمات في روسيا والهند باستخدام رسائل بريد إلكترونية احتيالية تنتحل صفة …

rss:The Hacker News

—

19:48 KSA

حرج data_breach

2026: عام الهجمات بمساعدة الذكاء الاصطناعي تم اعتقال شاب يبلغ من العمر 17 سنة في اليابان لاستخدامه أكوادًا خبيثة لاستخراج البيانات الشخصية لأكثر من 7 ملايين مستخدم من سلسلة مقاهي الإنترنت كايكاتسو. يسلط الحادث الضوء على التهديد المتزايد للهجمات الإلكترونية بمساع…

rss:BleepingComputer

—

19:48 KSA

عالٍ general

ندوة: لماذا يجب على مزودي الخدمات المدارة إعادة التفكير في استراتيجيات الأمان والنسخ الاحتياطي تستضيف Kaseya ندوة تركز على ضرورة قيام مزودي الخدمات المدارة بتعزيز استراتيجيات الأمان والنسخ الاحتياطي. تركز الجلسة على تطبيق النسخ الاحتياطية السحابية وحلول استمراري…

rss:BleepingComputer

—

19:48 KSA

حرج vulnerability

Progress تحذر من ثغرة حرجة في المصادقة في MOVEit Automation حذرت Progress Software من ثغرة حرجة في المصادقة في تطبيق MOVEit Automation المستخدم لنقل الملفات المدارة. يجب على المنظمات تطبيق التحديثات الأمنية فوراً لمنع الوصول غير المصرح والاختراق المحتمل.

rss:Malwarebytes Lab

—

17:54 KSA

عالٍ phishing

اقتصاد احتيال كأس العالم 2026 يعمل بالفعل قبل بداية المباراة الأولى يقوم المجرمون الإلكترونيون بإنشاء نظام احتيال متطور حول كأس العالم 2026، يقدم خدمات احتيالية تشمل تأشيرات مزيفة وتذاكر مزيفة وعملات رقمية عديمة القيمة. يستغل هذا النشاط الاحتيالي المنظم الاهتمام…

rss:Malwarebytes Lab

—

17:54 KSA

عالٍ phishing

آلاف حسابات فيسبوك المسروقة عبر رسائل التصيد الاحتيالي المرسلة من خلال جوجل يقوم المتسللون بحملة مستمرة للاستيلاء على حسابات فيسبوك باستخدام خدمة جوجل AppSheet لنشر رسائل تصيد احتيالي تتجاوز مرشحات الأمان. يستغل الهجوم الثقة التي يضعها المستخدمون في خدمات جوجل ل…

rss:SecurityWeek

—

17:54 KSA

عالٍ vulnerability

بدء استغلال ثغرة 'Copy Fail' في نظام لينكس أضافت وكالة CISA ثغرة حرجة في نظام لينكس تُعرف باسم 'Copy Fail' إلى قائمة الثغرات المعروفة المستغلة. لاحظت مايكروسوفت محاولات استغلال محدودة، مرتبطة بشكل أساسي باختبارات إثبات المفهوم، مما يشير إلى نشاط تهديد

rss:Dark Reading

—

17:54 KSA

منخفض general

كيف انطلقت Dark Reading من منصة الإطلاق في عام 2006 تناقش هذه المقالة الإطلاق التاريخي ونمو Dark Reading، وهي علامة تجارية إعلامية متخصصة في الأمن السيبراني، دون التركيز على تهديدات محددة أو حوادث أمنية ذات صلة بالمنظمات السعودية.

rss:BleepingComputer

—

17:54 KSA

عالٍ vulnerability

مايكروسوفت تؤكد أن تحديثات Windows في أبريل تسبب فشل النسخ الاحتياطية أكدت مايكروسوفت أن تحديثات أمان Windows في أبريل 2026 تسبب فشل النسخ الاحتياطية في تطبيقات النسخ الاحتياطي من جهات خارجية التي تستخدم برنامج التشغيل psmounterex.sys. تؤثر هذه المشكلة على المنظ…

rss:BleepingComputer

—

17:54 KSA

حرج vulnerability

CISA تحذر من استغلال ثغرة 'Copy Fail' لاختراق أنظمة Linux حذرت CISA من أن الجهات الفاعلة الضارة تستغل بنشاط ثغرة 'Copy Fail' في أنظمة Linux في البرية، بعد يوم واحد فقط من الكشف العلني عنها. تسمح هذه الثغرة الحرجة للمهاجمين بالحصول على صلاحيات الجذر في …

rss:SecurityWeek

—

16:36 KSA

منخفض general

OpenAI تطلق ميزات أمان متقدمة لحسابات ChatGPT أطلقت OpenAI ميزات أمان متقدمة لحسابات ChatGPT تتضمن طرق مصادقة أقوى وعمليات استرجاع حساب محسّنة ومدد جلسات أقصر. تهدف هذه التحسينات الأمنية إلى حماية حسابات المستخدمين من الوصول غير المصرح به وتقليل مخاطر اختراق الح

rss:The Hacker News

—

16:36 KSA

حرج vulnerability

ثغرة حرجة في cPanel يتم استغلالها لاستهداف شبكات الحكومة ومزودي الخدمات المدارة يقوم فاعل تهديد غير معروف سابقاً باستغلال ثغرة حديثة الكشف في cPanel لاستهداف الكيانات الحكومية والعسكرية في جنوب شرق آسيا، بالإضافة إلى مزودي الخدمات المدارة وموفري الاستضافة في عدة…

rss:SecurityWeek

—

15:16 KSA

حرج vulnerability

أكثر من 40,000 خادم مخترق في استغلال cPanel المستمر تم اختراق أكثر من 40,000 خادم في حملة هجوم مستمرة تستغل ثغرة CVE-2026-41940، وهي ثغرة يوم صفر تم إصلاحها مؤخراً في cPanel تمنح المهاجمين وصولاً إدارياً. تشكل هذه الحملة الاستغلالية الواسعة تهديداً حرجاً للمنظما…

rss:Malwarebytes Lab

—

13:37 KSA

متوسط general

أسبوع في الأمن السيبراني (27 أبريل - 3 مايو) ملخص أسبوعي للأمن السيبراني يغطي المواضيع والحوادث الرئيسية من 27 أبريل إلى 3 مايو 2026. يوفر نظرة عامة على التهديدات الناشئة والتطورات الأمنية خلال الفترة المحددة.

rss:SecurityWeek

—

13:37 KSA

عالٍ data_breach

شركة التعليم الإلكتروني Instructure تكشف عن خرق بيانات وسط تهديدات بتسريب المعلومات تعرضت شركة التعليم الإلكتروني Instructure لخرق بيانات كبير حيث قام المهاجمون بتعطيل الخدمات وسرقة معلومات حساسة تشمل الأسماء وعناوين البريد الإلكتروني وأرقام الطلاب والرسائل الخا…

rss:The Hacker News

—

12:32 KSA

حرج phishing

حملة عالمية توقف 276 شخصاً وتغلق 9 مراكز احتيال عملات رقمية وتصادر 701 مليون دولار عملية تنسيقية دولية بقيادة شرطة دبي بمشاركة السلطات الأمريكية والصينية أسفرت عن اعتقال 276 مشتبهاً وإغلاق 9 مراكز احتيال متخصصة في الاستثمارات بالعملات الرقمية. أسفرت العملية عن م…

rss:BleepingComputer

—

05:08 KSA

عالٍ data_breach

Instructure تؤكد خرق البيانات، ShinyHunters تعلن المسؤولية عن الهجوم أكدت شركة Instructure للتكنولوجيا التعليمية حدوث خرق بيانات، حيث أعلنت عصابة ShinyHunters المتخصصة في الابتزاز مسؤوليتها عن الهجوم. يؤثر الحادث على قطاع التعليم ويوضح التهديدات المستمرة التي تو…

📰 أخبار الأمن السيبراني

0 مقال

📰 لا توجد أخبار مجمّعة اليوم حتى الآن

يتم تحديث هذه النشرة تلقائياً يومياً — آخر تحديث: 04 May 2026
أرشيف الثغرات · التهديدات · الأخبار

🇸🇦 النشرة الأمنية السعودية

عرّفنا بنفسك

تسجيل الدخول مطلوب