Daily Digest

CVE-2021-47935

Sentry 8.2.0 contains a remote code execution vulnerability that allows authenticated superusers to execute arbitrary co

16:00 KSA

عالٍ CVSS 8.8 CWE-94

Sentry 8.2.0 contains a remote code execution vulnerability that allows authenticated superusers to execute arbitrary commands by injecting malicious pickle-serialized objects through the audit log entry data parameter. Attackers can submit crafted POST requests to the admin audi…

CVE-2021-47937

e107 CMS 2.3.0 contains a remote code execution vulnerability that allows authenticated users with theme installation pe

16:00 KSA

عالٍ CVSS 8.8 CWE-434

e107 CMS 2.3.0 contains a remote code execution vulnerability that allows authenticated users with theme installation permissions to execute arbitrary commands by uploading malicious theme files. Attackers can upload a crafted theme package through the theme.php endpoint that dep…

CVE-2021-47938

ImpressCMS 1.4.2 contains a remote code execution vulnerability in the autotasks administrative interface that allows au

16:00 KSA

عالٍ CVSS 8.8 CWE-94

ImpressCMS 1.4.2 contains a remote code execution vulnerability in the autotasks administrative interface that allows authenticated attackers to execute arbitrary PHP code by injecting malicious code into the sat_code parameter. Attackers can authenticate, submit a POST request t…

CVE-2021-47939

Evolution CMS 3.1.6 contains a remote code execution vulnerability that allows authenticated users with module creation

16:00 KSA

عالٍ CVSS 8.8 CWE-94

Evolution CMS 3.1.6 contains a remote code execution vulnerability that allows authenticated users with module creation permissions to execute arbitrary system commands by injecting PHP code into module parameters. Attackers can send POST requests to /manager/index.php with malic…

CVE-2021-47943

TextPattern CMS 4.8.7 contains a remote code execution vulnerability that allows authenticated attackers to execute arbi

16:00 KSA

عالٍ CVSS 8.8 CWE-434

TextPattern CMS 4.8.7 contains a remote code execution vulnerability that allows authenticated attackers to execute arbitrary commands by uploading malicious PHP files through the file upload functionality. Attackers can upload a PHP shell via the Files section in the content are…

CVE-2021-47949

CyberPanel 2.1 contains a command execution vulnerability that allows authenticated attackers to read arbitrary files an

23:45 KSA

عالٍ CVSS 8.8 CWE-59

CyberPanel 2.1 contains a command execution vulnerability that allows authenticated attackers to read arbitrary files and execute remote code by exploiting symlink attacks through the filemanager controller endpoint. Attackers can manipulate the completeStartingPath parameter in …

CVE-2022-50944

Aero CMS 0.0.1 contains a PHP code injection vulnerability that allows authenticated attackers to execute arbitrary PHP

23:45 KSA

عالٍ CVSS 8.8 CWE-94

Aero CMS 0.0.1 contains a PHP code injection vulnerability that allows authenticated attackers to execute arbitrary PHP code by uploading malicious files through the image parameter. Attackers can upload PHP files with embedded code to the admin posts.php endpoint with source=add…

CVE-2026-34464

Sandboxie-Plus is an open source sandbox-based isolation software for Windows. In versions 1.17.2 and earlier, NamedPipe

07:16 KSA

عالٍ CVSS 8.8 CWE-121

Sandboxie-Plus is an open source sandbox-based isolation software for Windows. In versions 1.17.2 and earlier, NamedPipeServer::OpenHandler copies the server field from NAMED_PIPE_OPEN_REQ into a fixed WCHAR pipename[160] stack buffer using wcscat without verifying null terminati…

CVE-2026-35397

Jupyter Server is the backend for Jupyter web applications. In versions 2.17.0 and earlier, a path traversal vulnerabili

07:16 KSA

عالٍ CVSS 8.8 CWE-22

Jupyter Server is the backend for Jupyter web applications. In versions 2.17.0 and earlier, a path traversal vulnerability in the REST API allows an authenticated user to escape the configured root_dir and access sibling directories whose names begin with the same prefix as the r…

CVE-2026-8234

A security vulnerability has been detected in EFM ipTIME A8004T 14.18.2. This vulnerability affects the function formWif

02:51 KSA

عالٍ CVSS 8.8 CWE-119

A security vulnerability has been detected in EFM ipTIME A8004T 14.18.2. This vulnerability affects the function formWifiBasicSet of the file /goform/WifiBasicSet. The manipulation of the argument security_5g leads to stack-based buffer overflow. The attack may be initiated remot…

CVE-2021-47928

ثغرة حقن SQL العمياء في نظام OpenCart TMD Vendor 3.x في معامل product_id

16:00 KSA

عالٍ CVSS 8.2 CWE-89

ثغرة حقن SQL العمياء في نظام OpenCart TMD Vendor الإصدار 3.x تسمح للمهاجمين غير المصرح لهم بالوصول إلى معلومات حساسة من قاعدة البيانات. يمكن استخدام تقنيات الحقن المستندة إلى الوقت أو المحتوى لاستخراج بيانات المستخدمين وأكواد إعادة تعيين كلمات المرور. هذه الثغرة تؤثر على سلامة ال…

CVE-2021-47930

Balbooa Joomla Forms Builder 2.0.6 contains an unauthenticated SQL injection vulnerability in the form submission handle

16:00 KSA

عالٍ CVSS 8.2 CWE-89

Balbooa Joomla Forms Builder 2.0.6 contains an unauthenticated SQL injection vulnerability in the form submission handler that allows remote attackers to execute arbitrary SQL queries. Attackers can send POST requests to the com_baforms component with malicious JSON payloads in t…

CVE-2021-47941

ثغرة حقن SQL في إضافة WordPress Survey & Poll عبر معامل wp_sap

16:00 KSA

عالٍ CVSS 8.2 CWE-89

تحتوي إضافة WordPress Survey & Poll الإصدار 1.5.7.3 على ثغرة حقن SQL في معامل ملف تعريف الارتباط wp_sap تسمح للمهاجمين بتنفيذ استعلامات SQL عشوائية دون المصادقة. يمكن للمهاجمين استخراج معلومات حساسة من قاعدة البيانات بما في ذلك أسماء المستخدمين وكلمات المرور والبيانات السرية الأخ…

CVE-2026-39852

Quarkus is a Java framework for building cloud-native applications. In versions prior to 3.20.6.1, 3.27.3.1, 3.33.1.1, 3

11:32 KSA

عالٍ CVSS 8.2 CWE-863

Quarkus is a Java framework for building cloud-native applications. In versions prior to 3.20.6.1, 3.27.3.1, 3.33.1.1, 3.35.1.1, 3.34.7, and 3.35.2, a path normalization inconsistency between the security layer and the routing layer allows unauthenticated or lower-privileged user…

CVE-2021-47945

Argus Surveillance DVR 4.0 contains an unquoted service path vulnerability in the DVRWatchdog service that allows local

23:45 KSA

عالٍ CVSS 7.8 CWE-428

Argus Surveillance DVR 4.0 contains an unquoted service path vulnerability in the DVRWatchdog service that allows local attackers to escalate privileges by exploiting the service binary path. Attackers can place a malicious executable in the Program Files directory to be executed…

CVE-2026-43128

In the Linux kernel, the following vulnerability has been resolved: RDMA/umem: Fix double dma_buf_unpin in failure path

22:13 KSA

عالٍ CVSS 7.8 CWE-415

In the Linux kernel, the following vulnerability has been resolved: RDMA/umem: Fix double dma_buf_unpin in failure path In ib_umem_dmabuf_get_pinned_with_dma_device(), the call to ib_umem_dmabuf_map_pages() can fail. If this occurs, the dmabuf is immediately unpinned but the um…

CVE-2026-43260

In the Linux kernel, the following vulnerability has been resolved: bnxt_en: Fix RSS context delete logic We need to f

22:13 KSA

عالٍ CVSS 7.8 CWE-415

In the Linux kernel, the following vulnerability has been resolved: bnxt_en: Fix RSS context delete logic We need to free the corresponding RSS context VNIC in FW everytime an RSS context is deleted in driver. Commit 667ac333dbb7 added a check to delete the VNIC in FW only when…

CVE-2021-47944

memono Notepad 4.2 contains a denial of service vulnerability that allows attackers to crash the application by pasting

23:45 KSA

عالٍ CVSS 7.5 CWE-789

memono Notepad 4.2 contains a denial of service vulnerability that allows attackers to crash the application by pasting excessively long character buffers into note fields. Attackers can generate a payload containing 350000 repeated characters and paste it twice into a new note t…

CVE-2026-1719

The Gravity Bookings Premium plugin for WordPress is vulnerable to SQL Injection in all versions up to, and including, 2

22:13 KSA

عالٍ CVSS 7.5 CWE-89

The Gravity Bookings Premium plugin for WordPress is vulnerable to SQL Injection in all versions up to, and including, 2.5.9 due to insufficient escaping on the user supplied parameter and lack of sufficient preparation on the existing SQL query. This makes it possible for unauth…

CVE-2026-40280

Gotenberg is an API-based document conversion tool. In versions 8.30.1 and earlier, the default private-IP deny-lists fo

07:16 KSA

عالٍ CVSS 7.5 CWE-918

Gotenberg is an API-based document conversion tool. In versions 8.30.1 and earlier, the default private-IP deny-lists for the --webhook-deny-list and --api-download-from-deny-list flags use a case-sensitive regular expression (^https?://) to match URL schemes. Because Go's net/ur…

CVE-2026-7258

معالجة PHP غير الآمنة للأحرف الموقعة في urldecode() تسبب حرمان الخدمة

02:51 KSA

عالٍ CVSS 7.5 CWE-125

تحتوي إصدارات PHP 8.2 و8.3 و8.4 و8.5 على ثغرة في معالجة الأحرف الموقعة حيث تمرر دوال مثل urldecode() قيماً موقعة إلى دوال ctype. على الأنظمة التي تستخدم جداول بحث محسّنة مثل NetBSD، يمكن أن يؤدي هذا إلى الوصول إلى المصفوفات برموز سالبة. يمكن للمهاجمين استغلال هذا لتنفيذ هجمات حرم…

CVE-2026-7262

ثغرة إلغاء مؤشر NULL في خادم SOAP بـ PHP

02:51 KSA

عالٍ CVSS 7.5 CWE-476

تحتوي ثغرة CVE-2026-7262 على خطأ في عملية فك تشفير خريطة النوع (typemap) في خادم SOAP حيث يتم التحقق من متغير خاطئ عند غياب عنصر القيمة. يؤدي هذا إلى إلغاء مؤشر NULL وحدوث خطأ تجزئة يسبب توقف عملية خادم PHP.

CVE-2026-7263

حلقة لا نهائية في معالجة XML بطريقة DOMNode::C14N() في PHP

02:51 KSA

عالٍ CVSS 7.5 CWE-404

يؤثر هذا الثغرة على معالج XML في PHP حيث تؤدي طريقة C14N() إلى إنشاء هياكل بيانات بحلقات دائرية عند معالجة مستندات XML معينة. يؤدي هذا إلى دخول التطبيق في حلقات لا نهائية مما يسبب توقف الخدمة وعدم توفر التطبيق. الهجوم يتطلب إرسال مستند XML معيب مما يجعله متجهاً نحو التطبيقات التي…

CVE-2026-7568

ثغرة تجاوز عدد صحيح في دالة metaphone() بـ PHP

02:51 KSA

عالٍ CVSS 7.5 CWE-125

ثغرة تجاوز عدد صحيح موقّع في دالة metaphone() بـ PHP تحدث عند معالجة سلاسل نصية تتجاوز 2.1 مليار بايت. يمكن للمهاجمين استغلال هذه الثغرة لإحداث انهيار العملية وتعطيل الخدمة.

CVE-2026-39383

ثغرة SSRF غير مصرح بها في Gotenberg 8.29.1 عبر رأس Webhook-Url

11:32 KSA

عالٍ CVSS 7.2 CWE-918

ثغرة SSRF عمياء في Gotenberg 8.29.1 تسمح لمهاجم غير مصرح بالوصول إلى الشبكة بفرض طلبات HTTP POST إلى وجهات عشوائية من خلال رأس Gotenberg-Webhook-Url. يمكن للمهاجم استخدام هذه الثغرة لاستكشاف البنية التحتية للشبكة الداخلية أو فرض طلبات ضد الخدمات الداخلية التي تؤدي إلى آثار جانبية…

CVE-2026-7332

The LatePoint – Calendar Booking Plugin for Appointments and Events plugin for WordPress is vulnerable to Stored Cross-S

22:13 KSA

عالٍ CVSS 7.2 CWE-79

The LatePoint – Calendar Booking Plugin for Appointments and Events plugin for WordPress is vulnerable to Stored Cross-Site Scripting via the 'booking_form_page_url' parameter in all versions up to, and including, 5.5.0 due to insufficient input sanitization and output escaping. …

CVE-2026-7856

A flaw has been found in D-Link DI-8100 16.07.26A1. This affects an unknown part of the file /url_member.asp of the comp

11:32 KSA

عالٍ CVSS 7.2 CWE-119

A flaw has been found in D-Link DI-8100 16.07.26A1. This affects an unknown part of the file /url_member.asp of the component Web Management Interface. Executing a manipulation of the argument Name can lead to buffer overflow. The attack can be launched remotely. The exploit has …

CVE-2026-7857

A vulnerability has been found in D-Link DI-8100 16.07.26A1. This vulnerability affects the function sprintf of the file

11:32 KSA

عالٍ CVSS 7.2 CWE-119

A vulnerability has been found in D-Link DI-8100 16.07.26A1. This vulnerability affects the function sprintf of the file /user_group.asp of the component CGI Handler. The manipulation leads to buffer overflow. The attack may be initiated remotely. The exploit has been disclosed t…

CVE-2020-37081

ثغرات حقن SQL في نظام حجز الصيد 7.5

04:01 KSA

عالٍ CVSS 7.1 CWE-89

نظام حجز الصيد الإصدار 7.5 يعاني من ثغرات حقن SQL متعددة في ملفات admin.php و cart.php و calendar.php. يمكن للمهاجمين استغلال معاملات معينة مثل uid و pid و type و m و y و code لحقن أوامر SQL ضارة. هذا يؤدي إلى اختراق كامل لنظام إدارة قاعدة البيانات والتطبيق دون الحاجة لتفاعل المس…

CVE-2020-37105

ثغرة حقن SQL في سكريبت التحميل الإداري PMB 5.6

04:01 KSA

عالٍ CVSS 7.1 CWE-89

ثغرة حقن SQL في سكريبت التحميل الإداري بـ PMB 5.6 تسمح للمستخدمين المصرحين بتنفيذ أوامر SQL عشوائية. يمكن للمهاجمين استخراج البيانات الحساسة أو تعديل محتويات قاعدة البيانات من خلال معامل logid المعيب. هذه الثغرة تؤثر على سلامة واستقلالية البيانات في الأنظمة التي تستخدم PMB.

CVE-2020-37108

ثغرة حقن SQL في PhpIX 2012 Professional في ملف product_detail.php

04:01 KSA

عالٍ CVSS 7.1 CWE-89

تتعلق الثغرة بمعالجة غير آمنة لمعامل 'id' في ملف product_detail.php حيث يتم دمج المدخلات مباشرة في استعلامات SQL دون تنظيف. يمكن للمهاجمين استخدام هذه الثغرة للوصول إلى بيانات حساسة أو تعديل سجلات قاعدة البيانات. هذه الثغرة تؤثر على أنظمة التجارة الإلكترونية والمتاجر الإلكترونية …

CVE-2020-37147

ثغرة حقن SQL في ATutor 2.2.4 في صفحة حذف المستخدم الإداري

04:01 KSA

عالٍ CVSS 7.1 CWE-89

ثغرة حقن SQL في ATutor 2.2.4 تؤثر على صفحة حذف المستخدم الإداري حيث يمكن للمهاجمين المصرح لهم حقن أكواد SQL ضارة عبر معامل 'id'. يمكن استغلال هذه الثغرة لاستخراج بيانات حساسة من قاعدة البيانات أو تعديل سجلات المستخدمين والبيانات الأخرى.

CVE-2020-37154

ثغرة حقن SQL مصرح بها في eLection 2.0 في إدارة المرشحين

04:01 KSA

عالٍ CVSS 7.1 CWE-89

تحتوي نسخة eLection 2.0 على ثغرة حقن SQL في نقطة نهاية إدارة المرشحين حيث يمكن للمهاجمين المصرح لهم معالجة استعلامات قاعدة البيانات. يمكن استخدام أدوات مثل SQLMap لاستغلال هذه الثغرة والوصول إلى البيانات الحساسة. يمكن للمهاجمين تحميل ملفات باب خلفي للحصول على تنفيذ كود بعيد على ا…

CVE-2021-47766

ثغرة حقن SQL مصرح بها في Kmaleon 1.1.0.205 في معامل tipocomb

04:01 KSA

عالٍ CVSS 7.1 CWE-89

تحتوي نسخة Kmaleon 1.1.0.205 على ثغرة حقن SQL مصرح بها في معامل 'tipocomb' بملف kmaleonW.php. يمكن للمهاجمين المصرح لهم استخدام تقنيات حقن SQL العمياء المختلفة (قائمة على القيم المنطقية والأخطاء والوقت) للوصول إلى معلومات قاعدة البيانات الحساسة أو تعديلها.

CVE-2021-47872

ثغرة حقن SQL في SEO Panel في ملف archive.php (CVE-2021-47872)

04:01 KSA

عالٍ CVSS 7.1 CWE-89

يؤثر هذا الضعف على SEO Panel قبل الإصدار 4.9.0 ويسمح للمهاجمين المصرح لهم بحقن أوامر SQL عبر معامل 'order_col' في صفحة archive.php. يمكن للمهاجمين استخراج بيانات حساسة من قاعدة البيانات بما في ذلك بيانات المستخدمين والمشاريع والإعدادات الحساسة.

CVE-2025-13096

IBM Business Automation Workflow containers V25.0.0 through V25.0.0-IF007, V24.0.1 - V24.0.1-IF007, V24.0.0 - V24.0.0-IF

04:01 KSA

عالٍ CVSS 7.1 CWE-918

IBM Business Automation Workflow containers V25.0.0 through V25.0.0-IF007, V24.0.1 - V24.0.1-IF007, V24.0.0 - V24.0.0-IF007 and IBM Business Automation Workflow traditional V25.0.0, V24.0.1, V24.0.0 is vulnerable to an XML external entity injection (XXE) attack when processing XM…

CVE-2025-14615

The DASHBOARD BUILDER – WordPress plugin for Charts and Graphs plugin for WordPress is vulnerable to Cross-Site Request

04:01 KSA

عالٍ CVSS 7.1 CWE-352

The DASHBOARD BUILDER – WordPress plugin for Charts and Graphs plugin for WordPress is vulnerable to Cross-Site Request Forgery in all versions up to, and including, 1.5.7. This is due to missing nonce validation on the settings handler in dashboardbuilder-admin.php. This makes i…

CVE-2025-14835

ثغرة XSS المنعكسة في إضافة WP Photo Album Plus عبر معامل Shortcode

04:01 KSA

عالٍ CVSS 7.1 CWE-80

تمثل هذه الثغرة الأمنية خطراً متوسطاً إلى عالٍ على المواقع الإلكترونية التي تستخدم إضافة WP Photo Album Plus في ووردبريس. تنشأ الثغرة من عدم التحقق الكافي من المدخلات في معامل 'shortcode'، مما يسمح بحقن أكواد جافا سكريبت ضارة. يتطلب الاستغلال الناجح هندسة اجتماعية لخداع المستخدمي…

CVE-2025-36258

IBM InfoSphere Information Server 11.7.0.0 through 11.7.1.6 product stores user credentials and other sensitive informat

11:08 KSA

عالٍ CVSS 7.1 CWE-256

IBM InfoSphere Information Server 11.7.0.0 through 11.7.1.6 product stores user credentials and other sensitive information in plain text which can be read by a local user.

CVE-2025-47366

تجاوز التشفير في منطقة موثوقة مع تنفيذ كود قديم

04:01 KSA

عالٍ CVSS 7.1 CWE-749

يتعلق هذا الثغرة بمشكلة تشفيرية في بيئة منطقة موثوقة (TEE) حيث يمكن تشغيل كود قديم أو غير محدث عند توفير إدخال غير صحيح من نظام التشغيل عالي المستوى. قد يؤدي هذا إلى تجاوز آليات الحماية التشفيرية وتعريض البيانات الحساسة للخطر.

CVE-2025-47400

Cryptographic issue while copying data to a destination buffer without validating its size.

00:38 KSA

عالٍ CVSS 7.1 CWE-126

Cryptographic issue while copying data to a destination buffer without validating its size.

CVE-2025-69415

ثغرة تجاوز المصادقة برمز الجهاز في خادم بليكس ميديا (CVE-2025-69415)

04:01 KSA

عالٍ CVSS 7.1 CWE-672

In Plex Media Server (PMS) through 1.42.2.10156, ability to access /myplex/account with a device token is not properly aligned with whether the device is currently associated with an account.

CVE-2026-0533

ثغرة XSS مخزنة في Autodesk Fusion في حوار حذف اسم التصميم

04:01 KSA

عالٍ CVSS 7.1 CWE-79

تتعلق هذه الثغرة بقابلية تخزين حمولات XSS الضارة في أسماء التصاميم داخل تطبيق Autodesk Fusion. عند عرض اسم التصميم الضار في حوار تأكيد الحذف والنقر عليه، يتم تنفيذ الكود الضار. يمكن للمهاجمين استخدام هذا للوصول إلى الملفات المحلية أو تنفيذ أوامر عشوائية.

CVE-2026-0810

ثغرة توليد سلاسل غير UTF-8 في دالة TimeBuf::as_str في مكتبة gix-date

04:01 KSA

عالٍ CVSS 7.1 CWE-135

ثغرة في مكتبة gix-date حيث تقوم دالة TimeBuf::as_str بإنشاء سلاسل نصية تحتوي على أحرف غير صحيحة من حيث ترميز UTF-8. هذا ينتهك الضمانات الأمنية الداخلية للمكون ويؤدي إلى سلوك غير محدد عند معالجة هذه السلاسل المشوهة. قد يسبب عدم استقرار التطبيق أو عواقب غير متوقعة.

CVE-2026-0827

ثغرة كتابة ملفات تعسفية في تشخيصات لينوفو مع تصعيد الامتيازات

13:54 KSA

عالٍ CVSS 7.1 CWE-59

تم اكتشاف ثغرة في Lenovo Diagnostics و HardwareScanAddin المستخدمة في Lenovo Vantage تسمح لمستخدم محلي مصرح به بكتابة ملفات تعسفية بامتيازات مرتفعة. تحدث الثغرة أثناء التثبيت أو عند استخدام ميزة المسح الصلب، مما قد يؤدي إلى تعديل غير مصرح به لملفات النظام.

CVE-2026-1058

ثغرة Stored XSS في إضافة Form Maker لـ WordPress عبر قيم الحقول المخفية

04:01 KSA

عالٍ CVSS 7.1 CWE-79

تحتوي إضافة Form Maker على ثغرة Stored XSS حيث يتم فك تشفير كيانات HTML للقيم المدخلة من المستخدمين دون الهروب اللاحق قبل العرض في قائمة الإرسالات. يمكن للمهاجمين غير المصرح لهم حقن رموز JavaScript تعسفية تُنفذ عند وصول المسؤولين إلى قائمة الإرسالات.

CVE-2026-20204

ثغرة Splunk في معالجة الملفات المؤقتة بشكل غير صحيح تسمح بتنفيذ أكواد بعيدة

13:54 KSA

عالٍ CVSS 7.1 CWE-377

تسمح هذه الثغرة للمستخدمين ذوي الصلاحيات المنخفضة الذين لا يملكون أدوار admin أو power بتنفيذ أكواد بعيدة عن طريق استغلال معالجة غير صحيحة للملفات المؤقتة. يتم تحميل الملفات الضارة إلى دليل $SPLUNK_HOME/var/run/splunk/apptemp مما يؤدي إلى تنفيذ الأكواد الضارة.

CVE-2026-2103

تسرب بيانات اعتماد Infor SyteLine ERP بسبب مفاتيح تشفير مشفرة بشكل صلب

04:01 KSA

عالٍ CVSS 7.1 CWE-321

يستخدم نظام Infor SyteLine ERP مفاتيح تشفير ثابتة وموحدة عبر جميع التثبيتات لحماية بيانات اعتماد المستخدمين وسلاسل اتصال قواعد البيانات ومفاتيح API. يمكن لأي مهاجم يحصل على الوصول إلى الملف الثنائي للتطبيق وقاعدة البيانات فك تشفير جميع بيانات الاعتماد المخزنة بسهولة. هذا يشكل خطر…

CVE-2026-21223

ثغرة تجاوز إدارة الامتيازات في Microsoft Edge

04:01 KSA

عالٍ CVSS 7.1 CWE-269

تتعلق هذه الثغرة بإدارة غير صحيحة للامتيازات في Microsoft Edge المستند إلى Chromium. يمكن للمهاجمين المصرحين محلياً استغلال هذه الثغرة لتجاوز ميزات الأمان المهمة.

CVE-2026-21908

ثغرة Use After Free في خادم مصادقة 802.1X بنظام Juniper Junos OS

04:01 KSA

عالٍ CVSS 7.1 CWE-416

تم تحديد ثغرة Use After Free في خادم مصادقة 802.1X (dot1xd) في نظام Juniper Junos OS حيث يتم تحرير مؤشر ثم الرجوع إليه لاحقاً في نفس مسار الكود. يمكن للمهاجمين المصرح لهم والمجاورين للشبكة استغلال هذه الثغرة بواسطة ارتجاج المنافذ أثناء معالجة تغيير التفويض (CoA) لتعطيل العملية أو…

CVE-2026-22186

ثغرة XXE في محلل بيانات Leica في Bio-Formats (CVE-2026-22186)

04:01 KSA

عالٍ CVSS 7.1 CWE-611

تتيح هذه الثغرة للمهاجمين استغلال معالج XML غير آمن في مكتبة Bio-Formats المستخدمة على نطاق واسع في معالجة صور المجاهر الطبية والبحثية. من خلال إدراج كيانات XML خارجية ضارة في ملفات البيانات الوصفية لأنظمة Leica، يمكن للمهاجم إجبار النظام على إجراء طلبات شبكة خارجية غير مصرح بها …

CVE-2026-22682

ثغرة التحكم في الوصول غير الصحيح في أدوات الملفات في OpenHarness - قراءة/كتابة ملفات عشوائية

18:17 KSA

عالٍ CVSS 7.1 CWE-863

يحتوي OpenHarness على ثغرة في التحكم بالوصول تؤثر على أدوات معالجة الملفات المدمجة. يمكن للمهاجمين الذين يمكنهم التأثير على تنفيذ أدوات الوكيل تجاوز قواعد الحظر والوصول إلى ملفات حساسة مثل ملفات التكوين والبيانات الاعتماديّة ومواد SSH. الثغرة تنتج عن عدم تمرير معامل المسار إلى Pe…

CVE-2026-23986

ثغرة اجتياز الدليل في Copier عبر الروابط الرمزية وميزة _preserve_symlinks

04:01 KSA

عالٍ CVSS 7.1 CWE-61

تحتوي مكتبة Copier على ثغرة اجتياز دليل تسمح لمؤلفي القوالب بكتابة الملفات خارج مسار الوجهة المقصود باستخدام الروابط الرمزية وميزة _preserve_symlinks. يمكن للمهاجمين استخدام هذه الثغرة لاستبدال الملفات الحساسة أو إدخال أكواد ضارة في أنظمة المستخدمين.

CVE-2026-27638

Actual is a local-first personal finance tool. Prior to version 26.2.1, in multi-user mode (OpenID), the sync API endpoi

05:22 KSA

عالٍ CVSS 7.1 CWE-862

Actual is a local-first personal finance tool. Prior to version 26.2.1, in multi-user mode (OpenID), the sync API endpoints (`/sync/*`) don't verify that the authenticated user owns or has access to the file being operated on. Any authenticated user can read, modify, and overwrit…

CVE-2026-32188

Out-of-bounds read in Microsoft Office Excel allows an unauthorized attacker to disclose information locally.

07:00 KSA

عالٍ CVSS 7.1 CWE-125

Out-of-bounds read in Microsoft Office Excel allows an unauthorized attacker to disclose information locally.

CVE-2026-33493

WWBN AVideo is an open source video platform. In versions up to and including 26.0, the `objects/import.json.php` endpoi

11:22 KSA

عالٍ CVSS 7.1 CWE-22

WWBN AVideo is an open source video platform. In versions up to and including 26.0, the `objects/import.json.php` endpoint accepts a user-controlled `fileURI` POST parameter with only a regex check that the value ends in `.mp4`. Unlike `objects/listFiles.json.php`, which was hard…

CVE-2026-20617

A race condition was addressed with improved state handling. This issue is fixed in watchOS 26.3, tvOS 26.3, macOS Tahoe

04:01 KSA

عالٍ CVSS 7.0 CWE-362

A race condition was addressed with improved state handling. This issue is fixed in watchOS 26.3, tvOS 26.3, macOS Tahoe 26.3, macOS Sonoma 14.8.4, visionOS 26.3, iOS 26.3 and iPadOS 26.3. An app may be able to gain root privileges.

CVE-2026-21219

Use after free in Inbox COM Objects allows an unauthorized attacker to execute code locally.

04:01 KSA

عالٍ CVSS 7.0 CWE-416

Use after free in Inbox COM Objects allows an unauthorized attacker to execute code locally.

CVE-2026-21417

Dell CloudBoost Virtual Appliance, versions prior to 19.14.0.0, contains a Plaintext Storage of Password vulnerability.

04:01 KSA

عالٍ CVSS 7.0 CWE-256

Dell CloudBoost Virtual Appliance, versions prior to 19.14.0.0, contains a Plaintext Storage of Password vulnerability. A high privileged attacker with remote access could potentially exploit this vulnerability, leading to Elevation of privileges.

CVE-2026-21508

Improper authentication in Windows Storage allows an authorized attacker to elevate privileges locally.

04:01 KSA

عالٍ CVSS 7.0 CWE-287

Improper authentication in Windows Storage allows an authorized attacker to elevate privileges locally.

CVE-2026-21939

Vulnerability in the SQLcl component of Oracle Database Server. Supported versions that are affected are 23.4.0-23.26.0

04:01 KSA

عالٍ CVSS 7.0

Vulnerability in the SQLcl component of Oracle Database Server. Supported versions that are affected are 23.4.0-23.26.0. Difficult to exploit vulnerability allows unauthenticated attacker with logon to the infrastructure where SQLcl executes to compromise SQLcl. Successful atta…

CVE-2026-23667

Use after free in Broadcast DVR allows an authorized attacker to elevate privileges locally.

03:13 KSA

عالٍ CVSS 7.0 CWE-416

Use after free in Broadcast DVR allows an authorized attacker to elevate privileges locally.

CVE-2026-23668

Concurrent execution using shared resource with improper synchronization ('race condition') in Microsoft Graphics Compon

03:13 KSA

عالٍ CVSS 7.0 CWE-362

Concurrent execution using shared resource with improper synchronization ('race condition') in Microsoft Graphics Component allows an authorized attacker to elevate privileges locally.

CVE-2026-23671

ثغرة تنافس في برنامج تشغيل Bluetooth RFCOM بـ Windows لتصعيد الامتيازات

03:13 KSA

عالٍ CVSS 7.0 CWE-362

تتعلق الثغرة بعيب في مزامنة الموارد المشتركة في برنامج تشغيل Bluetooth RFCOM بنظام Windows. يمكن لمهاجم محلي مصرح له استغلال حالة التنافس للحصول على امتيازات إدارية.

CVE-2026-24285

Use after free in Windows Win32K allows an authorized attacker to elevate privileges locally.

03:13 KSA

عالٍ CVSS 7.0 CWE-416

Use after free in Windows Win32K allows an authorized attacker to elevate privileges locally.

CVE-2026-24295

Concurrent execution using shared resource with improper synchronization ('race condition') in Windows Device Associatio

03:13 KSA

عالٍ CVSS 7.0 CWE-362

Concurrent execution using shared resource with improper synchronization ('race condition') in Windows Device Association Service allows an authorized attacker to elevate privileges locally.

CVE-2026-24296

Concurrent execution using shared resource with improper synchronization ('race condition') in Windows Device Associatio

03:13 KSA

عالٍ CVSS 7.0 CWE-362

Concurrent execution using shared resource with improper synchronization ('race condition') in Windows Device Association Service allows an authorized attacker to elevate privileges locally.

CVE-2026-25170

Use after free in Windows Hyper-V allows an authorized attacker to elevate privileges locally.

03:13 KSA

عالٍ CVSS 7.0 CWE-416

Use after free in Windows Hyper-V allows an authorized attacker to elevate privileges locally.

CVE-2026-25171

Use after free in Windows Authentication Methods allows an authorized attacker to elevate privileges locally.

03:13 KSA

عالٍ CVSS 7.0 CWE-416

Use after free in Windows Authentication Methods allows an authorized attacker to elevate privileges locally.

CVE-2026-25178

ثغرة استخدام الذاكرة بعد التحرير في برنامج تشغيل Windows WinSock لرفع الامتيازات

03:13 KSA

عالٍ CVSS 7.0 CWE-416

تؤثر هذه الثغرة على برنامج تشغيل Windows Ancillary Function Driver المسؤول عن وظائف WinSock. يمكن لمهاجم مصرح محلياً استغلال عيب في إدارة الذاكرة لرفع امتيازاته إلى مستوى النظام. تتطلب الثغرة وصولاً محلياً مسبقاً لكنها قد تؤدي إلى السيطرة الكاملة على النظام.

CVE-2026-25179

ثغرة تصعيد الامتيازات في برنامج تشغيل Windows Ancillary Function Driver لـ WinSock

03:13 KSA

عالٍ CVSS 7.0 CWE-1287

ثغرة في برنامج تشغيل Windows Ancillary Function Driver for WinSock تسمح لمستخدم مصرح محلياً بتصعيد الامتيازات من خلال التحقق غير الصحيح من المدخلات. تتطلب الثغرة وجود حساب مستخدم موجود على النظام ولكنها تمكن المهاجم من الحصول على صلاحيات إدارية.

CVE-2026-26157

ثغرة عبور المسار في أداة استخراج الأرشيفات في BusyBox

04:01 KSA

عالٍ CVSS 7.0 CWE-73

تحتوي أداة BusyBox على ثغرة في تطهير المسار عند استخراج الأرشيفات تسمح بكتابة الملفات خارج الدليل المقصود. يمكن للمهاجمين استغلال هذه الثغرة لتعديل ملفات النظام الحساسة وتحقيق تنفيذ أكواد عشوائية.

CVE-2026-26158

ثغرة عبور المسار في استخراج Tar في BusyBox عبر الروابط الرمزية والصلبة غير المتحققة

04:01 KSA

عالٍ CVSS 7.0 CWE-73

تم اكتشاف ثغرة في BusyBox تسمح للمهاجمين بإنشاء أرشيفات tar ضارة تحتوي على روابط رمزية وصلبة غير مصرح بها لتجاوز قيود الدليل المقصود. عند استخراج الأرشيف بصلاحيات مرتفعة، يمكن للمهاجم الوصول إلى ملفات النظام الحرجة وتعديلها.

CVE-2026-32080

ثغرة Use-After-Free في خدمة محفظة Windows لرفع الامتيازات

03:58 KSA

عالٍ CVSS 7.0 CWE-416

ثغرة use-after-free في خدمة محفظة Windows تسمح بالوصول إلى ذاكرة تم تحريرها بالفعل. يمكن للمهاجمين المصرح لهم محليًا استغلال هذه الثغرة لرفع امتيازاتهم إلى مستوى النظام. تتطلب الثغرة وصولاً محليًا مصرحًا به ولا تؤثر على الأنظمة التي لا تستخدم خدمة WalletService.

CVE-2026-32195

Stack-based buffer overflow in Windows Kernel allows an authorized attacker to elevate privileges locally.

13:16 KSA

عالٍ CVSS 7.0 CWE-121

Stack-based buffer overflow in Windows Kernel allows an authorized attacker to elevate privileges locally.

CVE-2026-32224

Use after free in Windows Server Update Service allows an authorized attacker to elevate privileges locally.

17:32 KSA

عالٍ CVSS 7.0 CWE-416

Use after free in Windows Server Update Service allows an authorized attacker to elevate privileges locally.

CVE-2026-34596

Sandboxie-Plus is an open source sandbox-based isolation software for Windows. In versions 1.17.2 and earlier, a Time-of

07:16 KSA

عالٍ CVSS 7.0 CWE-367

Sandboxie-Plus is an open source sandbox-based isolation software for Windows. In versions 1.17.2 and earlier, a Time-of-Check-to-Time-of-Use (TOCTOU) race condition exists during addon installation. When a user installs an addon through the SandMan interface, UpdUtil.exe is spaw…

CVE-2026-39883

ثغرة اختراق PATH في OpenTelemetry-Go على أنظمة BSD/Solaris (CVE-2026-39883)

00:18 KSA

عالٍ CVSS 7.0 CWE-426

تحتوي نسخ OpenTelemetry-Go من 1.15.0 إلى 1.42.0 على ثغرة اختراق PATH تؤثر على أنظمة BSD و Solaris من خلال أمر kenv. يمكن للمهاجمين تنفيذ أكواد عشوائية بامتيازات العملية المتأثرة. تم إصلاح الثغرة في الإصدار 1.43.0.

CVE-2026-43050

ثغرة استخدام بعد التحرير في نواة لينكس ATM LEC في sock_def_readable()

02:00 KSA

عالٍ CVSS 7.0 CWE-416

تتعلق هذه الثغرة بحالة تسابق في وحدة ATM LEC بنواة لينكس حيث يتم مسح المؤشر priv->lecd دون تزامن مناسب. يمكن أن يؤدي هذا إلى استخدام الذاكرة بعد تحررها عند وصول خيوط متزامنة إلى المؤشر المحرر.

CVE-2026-4545

مسار بحث غير منضبط في مكتبة PROPSYS.dll في برنامج Flos Notepad2 4.2.25

11:22 KSA

عالٍ CVSS 7.0 CWE-426

تم اكتشاف ثغرة أمنية في برنامج Flos Freeware Notepad2 الإصدار 4.2.25 تتعلق بمكتبة PROPSYS.dll حيث يمكن للمهاجم التلاعب بمسار البحث دون تحكم. الثغرة تتطلب وصولاً محلياً وتعقيداً عالياً في الاستغلال، مما يحد من خطورتها النسبية.

CVE-2026-4546

مسار بحث غير متحكم به في TextShaping.dll بـ Flos Notepad2 4.2.25

11:22 KSA

عالٍ CVSS 7.0 CWE-426

ثغرة في مكتبة TextShaping.dll الخاصة بتطبيق Flos Freeware Notepad2 الإصدار 4.2.25 تسمح بمعالجة مسار بحث غير متحكم به. الاستغلال يتطلب وصولاً محلياً وتعقيداً عالياً، مما يحد من التأثير العملي للثغرة.

CVE-2026-5656

ثغرة تجاوز المسار في استيراد ملفات Wireshark الشخصية

10:32 KSA

عالٍ CVSS 7.0 CWE-22

تسمح ثغرة تجاوز المسار في وظيفة استيراد الملفات الشخصية بـ Wireshark للمهاجمين بمعالجة ملفات من مسارات غير مصرح بها. يمكن للمهاجمين استغلال هذه الثغرة لتنفيذ أكواد ضارة أو إيقاف الخدمة عن طريق ملفات ملفات شخصية مصنوعة بعناية.

CVE-2026-6421

ثغرة مسار البحث غير المحكوم في مكتبة MobaXterm msimg32.dll

06:18 KSA

عالٍ CVSS 7.0 CWE-426

ثغرة في مكتبة msimg32.dll بـ MobaXterm Home Edition تسمح بمعالجة مسار بحث غير محكوم، مما قد يؤدي إلى تنفيذ كود محلي. تتطلب الثغرة وصول محلي للنظام وتتمتع بتعقيد هجوم عالي. تم إصدار إصلاح في الإصدار 26.2.

CVE-2026-7832

ثغرة متابعة الروابط الرمزية في IObit Advanced SystemCare 19 في ASC.exe

14:54 KSA

عالٍ CVSS 7.0 CWE-59

تم اكتشاف ثغرة في IObit Advanced SystemCare 19 تسمح بمتابعة الروابط الرمزية في مكون الخدمة ASC.exe. تتطلب الثغرة وصول محلي وتتميز بتعقيد هجوم عالي، مما يجعل الاستغلال صعباً نسبياً.

CVE-2026-0711

حقن أوامر بعد المصادقة في واجهات EasyMesh لجهاز Zyxel DX3300-T0

10:48 KSA

متوسط CVSS 6.8 CWE-78

تؤثر هذه الثغرة على أجهزة Zyxel DX3300-T0 التي تعمل بإصدارات برنامج ثابت قديمة وتسمح لمسؤول مصرح بتنفيذ أوامر نظام تعسفية عبر واجهات برمجة التطبيقات المتعلقة بـ EasyMesh. يتطلب الاستغلال وصول مجاور وامتيازات إدارية، مما يحد من نطاق التهديد.

CVE-2026-21007

تجاوز حماية Knox Guard في Device Care عبر معالجة استثناءات غير صحيحة

02:54 KSA

متوسط CVSS 6.8 CWE-754

يسمح هذا الضعف في Device Care للمهاجمين الماديين بتجاوز حماية Knox Guard من خلال فشل التحقق من الشروط الاستثنائية. يؤثر على أجهزة Samsung التي تعمل بإصدارات سابقة لإصدار SMR أبريل 2026. يتطلب الهجوم وصولاً فيزيائياً مباشراً للجهاز.

CVE-2026-21009

تجاوز ميزة تثبيت التطبيقات في Samsung Recents عبر معالجة الاستثناءات غير الصحيحة

21:16 KSA

متوسط CVSS 6.8 CWE-754

يسمح هذا الضعف للمهاجمين الفيزيائيين بتجاوز ميزة تثبيت التطبيقات في تطبيق Samsung Recents من خلال استغلال معالجة الاستثناءات غير الكافية. يؤثر الثغرة على الإصدارات السابقة لإصدار أبريل 2026 الأول.

CVE-2026-21011

تجاوز إسناد الامتيازات في وضع صيانة البلوتوث لآلية Extend Unlock

00:32 KSA

متوسط CVSS 6.8 CWE-732

تتعلق الثغرة بإسناد امتيازات غير صحيح في وضع الصيانة لتقنية البلوتوث، مما يسمح للمهاجمين الذين لديهم وصول فيزيائي بتجاوز آلية Extend Unlock. يؤثر هذا على الأجهزة التي تعمل بإصدارات سابقة لإصدار SMR في أبريل 2026.

CVE-2026-28338

PMD is an extensible multilanguage static code analyzer. Prior to version 7.22.0, PMD's `vbhtml` and `yahtml` report for

11:01 KSA

متوسط CVSS 6.8 CWE-79

PMD is an extensible multilanguage static code analyzer. Prior to version 7.22.0, PMD's `vbhtml` and `yahtml` report formats insert rule violation messages into HTML output without escaping. When PMD analyzes untrusted source code containing crafted string literals, the generated…

CVE-2026-28525

SWUpdate contains an integer underflow vulnerability in the multipart upload parser in mongoose_multipart.c that allows

03:36 KSA

متوسط CVSS 6.8 CWE-125

SWUpdate contains an integer underflow vulnerability in the multipart upload parser in mongoose_multipart.c that allows unauthenticated attackers to cause a denial of service by sending a crafted HTTP POST request to /upload with a malformed multipart boundary and controlled TCP …

CVE-2026-32223

Heap-based buffer overflow in Windows USB Print Driver allows an unauthorized attacker to elevate privileges with a phys

00:48 KSA

متوسط CVSS 6.8 CWE-122

Heap-based buffer overflow in Windows USB Print Driver allows an unauthorized attacker to elevate privileges with a physical attack.

CVE-2026-34314

Vulnerability in the Oracle Financial Services Analytical Applications Infrastructure product of Oracle Financial Servic

15:28 KSA

متوسط CVSS 6.8

Vulnerability in the Oracle Financial Services Analytical Applications Infrastructure product of Oracle Financial Services Applications (component: Platform). Supported versions that are affected are 8.0.7.9, 8.0.8.7 and 8.1.2.5. Difficult to exploit vulnerability allows low pr…

CVE-2026-34325

ثغرة واجهة المستخدم في بنية تطبيقات Oracle للخدمات المالية التحليلية

21:40 KSA

متوسط CVSS 6.8

تؤثر هذه الثغرة على مكون واجهة المستخدم في بنية تطبيقات Oracle للخدمات المالية التحليلية في الإصدارات 8.0.7.9 و8.0.8.7 و8.1.2.5. يمكن للمهاجمين ذوي الامتيازات المنخفضة الذين لديهم وصول إلى البنية الأساسية استغلال هذه الثغرة بنجاح من خلال التفاعل البشري. قد يؤدي الاستغلال الناجح إ…

CVE-2026-34864

ثغرة حدود غير محدودة في وحدة قراءة التطبيق

02:16 KSA

متوسط CVSS 6.8 CWE-119

ثغرة حدود غير محدودة في وحدة قراءة التطبيق تسمح بقراءة بيانات خارج الحدود المحددة. قد يؤدي استغلال هذه الثغرة إلى تعطل التطبيق أو تأثر توفر الخدمة. التأثير الأساسي يركز على توفر النظام وليس السرية أو السلامة.

CVE-2026-40500

ProcessWire CMS version 3.0.255 and prior contain a server-side request forgery vulnerability in the admin panel's 'Add

10:55 KSA

متوسط CVSS 6.8 CWE-918

ProcessWire CMS version 3.0.255 and prior contain a server-side request forgery vulnerability in the admin panel's 'Add Module From URL' feature that allows authenticated administrators to supply arbitrary URLs to the module download parameter, causing the server to issue outboun…

CVE-2026-41397

OpenClaw before 2026.3.31 contains a sandbox escape vulnerability allowing attackers to traverse directory boundaries th

01:48 KSA

متوسط CVSS 6.8 CWE-59

OpenClaw before 2026.3.31 contains a sandbox escape vulnerability allowing attackers to traverse directory boundaries through symlink exploitation during file synchronization operations. Remote attackers can bypass sandbox restrictions by crafting malicious symlinks in mirror syn…

CVE-2026-43535

OpenClaw before 2026.4.14 contains an authorization context reuse vulnerability in collect-mode queue batches that allow

19:48 KSA

متوسط CVSS 6.8 CWE-266

OpenClaw before 2026.4.14 contains an authorization context reuse vulnerability in collect-mode queue batches that allows messages from different senders to inherit the final sender's authorization context. Attackers can exploit this by sending multiple queued messages to drain b…

CVE-2025-14917

ضعف أمني في إدارة أمان IBM WebSphere Liberty CVE-2025-14917

11:08 KSA

متوسط CVSS 6.7 CWE-1393

يؤثر هذا الضعف على إعدادات الأمان الإدارية في IBM WebSphere Liberty، مما قد يؤدي إلى تضعيف آليات الحماية المتوقعة. قد يستغل المهاجمون هذا الضعف للوصول غير المصرح به إلى الموارد الحساسة أو تعديل إعدادات الأمان الحرجة.

CVE-2025-15616

Wazuh wazuh-agent and wazuh-manager versions 2.1.0 before 4.8.0 contain multiple shell injection and untrusted search pa

02:36 KSA

متوسط CVSS 6.7 CWE-94

Wazuh wazuh-agent and wazuh-manager versions 2.1.0 before 4.8.0 contain multiple shell injection and untrusted search path vulnerabilities that allow attackers to execute arbitrary commands through various components including logcollector configuration, maild SMTP server tags, a…

CVE-2025-30650

ثغرة المصادقة المفقودة في وظيفة حرجة في بطاقات الخط بنظام Juniper Junos OS

03:18 KSA

متوسط CVSS 6.7 CWE-306

تؤثر هذه الثغرة على أنظمة Juniper Junos OS التي تستخدم بطاقات خط مستندة إلى Linux، بما في ذلك سلسلة MPC وLC وFPC. يمكن لمهاجم محلي ممتاز استغلال نقص المصادقة في معالجة الأوامر للحصول على وصول جذر على بطاقات الخط.

CVE-2025-9907

A flaw was found in the Red Hat Ansible Automation Platform, Event-Driven Ansible (EDA) Event Stream API. This vulnerabi

04:30 KSA

متوسط CVSS 6.7 CWE-200

A flaw was found in the Red Hat Ansible Automation Platform, Event-Driven Ansible (EDA) Event Stream API. This vulnerability allows exposure of sensitive client credentials and internal infrastructure headers via the test_headers field when an event stream is in test mode. The po…

CVE-2025-9908

A flaw was found in the Red Hat Ansible Automation Platform, Event-Driven Ansible (EDA) Event Streams. This vulnerabilit

04:30 KSA

متوسط CVSS 6.7 CWE-200

A flaw was found in the Red Hat Ansible Automation Platform, Event-Driven Ansible (EDA) Event Streams. This vulnerability allows an authenticated user to gain access to sensitive internal infrastructure headers (such as X-Trusted-Proxy and X-Envoy-*) and event stream URLs via cra…

CVE-2025-9909

ثغرة سرقة بيانات الاعتماد في بوابة منصة أتمتة Ansible من Red Hat عبر المسارات المضللة

04:30 KSA

متوسط CVSS 6.7 CWE-647

تتعلق هذه الثغرة بمكون إنشاء المسارات في بوابة منصة أتمتة Ansible من Red Hat، حيث يمكن لمسؤول ضار أو مخادع اجتماعياً إنشاء مسارات وهمية باستخدام بادئة شرطة مائلة مزدوجة (//) لاعتراض وسرقة بيانات اعتماد المستخدمين. يمكن للمهاجم الحفاظ على وصول مستمر أو إنشاء باب خلفي حتى بعد إلغاء…

CVE-2026-0390

تجاوز قرار الأمان بسبب مدخلات غير موثوقة في محمل التمهيد Windows

00:48 KSA

متوسط CVSS 6.7 CWE-807

تعتمد هذه الثغرة على معالجة غير آمنة للمدخلات غير الموثوقة في قرارات الأمان بمحمل التمهيد في Windows. يمكن للمهاجمين المصرحين محلياً استغلال هذا الضعف لتجاوز ميزات الأمان الحرجة. التأثير محدود بالوصول المحلي لكنه قد يؤدي إلى تسويس النظام.

CVE-2026-1636

ثغرة اختطاف DLL في Lenovo Service Bridge لتصعيد الامتيازات

02:16 KSA

متوسط CVSS 6.7 CWE-427

ثغرة اختطاف DLL في Lenovo Service Bridge تسمح لمستخدم محلي مصرح له بتنفيذ أكواد برتبة امتيازات عالية تحت ظروف معينة. تتطلب الثغرة وصولاً محلياً وتصديقاً للمستخدم، مما يحد من نطاق الاستغلال.

CVE-2026-21915

حقن أوامر shell في واجهة سطر أوامر Juniper JSI vLWC عبر التحقق المتساهل من المدخلات

06:54 KSA

متوسط CVSS 6.7 CWE-183

تحتوي واجهة سطر الأوامر في مجمع Juniper Networks Support Insights على ثغرة في التحقق من صحة المدخلات تسمح بحقن أوامر shell. يمكن لمهاجم محلي بامتيازات عالية استغلال هذه الثغرة لتنفيذ أوامر تعسفية بصلاحيات جذر والسيطرة الكاملة على النظام. تؤثر الثغرة على جميع الإصدارات السابقة للإ…

CVE-2026-27653

The installers for multiple products provided by Soliton Systems K.K. contain an issue with incorrect default permission

04:30 KSA

متوسط CVSS 6.7 CWE-276

The installers for multiple products provided by Soliton Systems K.K. contain an issue with incorrect default permissions, which may allow arbitrary code to be executed with SYSTEM privileges.

CVE-2026-32167

Improper neutralization of special elements used in an sql command ('sql injection') in SQL Server allows an authorized

00:48 KSA

متوسط CVSS 6.7 CWE-89

Improper neutralization of special elements used in an sql command ('sql injection') in SQL Server allows an authorized attacker to elevate privileges locally.

CVE-2026-32176

Improper neutralization of special elements used in an sql command ('sql injection') in SQL Server allows an authorized

00:48 KSA

متوسط CVSS 6.7 CWE-89

Improper neutralization of special elements used in an sql command ('sql injection') in SQL Server allows an authorized attacker to elevate privileges locally.

CVE-2026-33791

An OS Command Injection vulnerability in the CLI processing of Juniper Networks Junos OS and Junos OS Evolved allows a l

10:03 KSA

متوسط CVSS 6.7 CWE-78

An OS Command Injection vulnerability in the CLI processing of Juniper Networks Junos OS and Junos OS Evolved allows a local, high-privileged attacker executing specific, crafted CLI commands to inject arbitrary shell commands as root, leading to a complete compromise of the syst…

CVE-2026-34863

ثغرة كتابة خارج الحدود في نظام الملفات (CVE-2026-34863)

02:16 KSA

متوسط CVSS 6.7 CWE-787

ثغرة كتابة خارج الحدود في نظام الملفات تسمح بالكتابة إلى مناطق ذاكرة غير مصرح بها. قد يؤدي استغلال هذه الثغرة إلى تعطل النظام أو فقدان توفره. تتطلب الثغرة وصولاً محدوداً وظروفاً معينة للاستغلال الناجح.

CVE-2026-41360

ثغرة تجاوز سلامة الموافقة في OpenClaw pnpm dlx

02:48 KSA

متوسط CVSS 6.7 CWE-367

تحتوي OpenClaw على ثغرة في سلامة الموافقة حيث لا يتم ربط معاملات البرامج النصية المحلية بشكل متسق بين تدفقات pnpm dlx و pnpm exec. يمكن للمهاجمين استبدال البرامج النصية المعتمدة قبل التنفيذ دون إبطال خطة الموافقة، مما يؤدي إلى تنفيذ محتويات البرامج النصية المعدلة.

CVE-2026-41392

تجاوز قائمة التنفيذ الموثوقة في OpenClaw عبر استدعاءات غلاف ملفات تهيئة Shell

01:48 KSA

متوسط CVSS 6.7 CWE-184

تسمح هذه الثغرة للمهاجمين بتجاوز آليات التحكم في قائمة التنفيذ الموثوقة في OpenClaw من خلال استغلال معاملات shell المختلفة. يمكن للمهاجمين وراثة الثقة من القائمة البيضاء وتحميل ملفات تهيئة ضارة لتنفيذ أكواد تعسفية.

CVE-2026-4878

ثغرة تسابق TOCTOU في دالة cap_set_file() بمكتبة libcap

22:23 KSA

متوسط CVSS 6.7 CWE-367

تم اكتشاف ثغرة تسابق زمني (TOCTOU) في دالة cap_set_file() بمكتبة libcap تسمح لمستخدم محلي غير متميز باستغلالها. يمكن للمهاجم الذي لديه حق الكتابة في مجلد أب أن يعيد توجيه تحديثات قدرات الملفات إلى ملف يتحكم به. هذا يؤدي إلى تصعيد الامتيازات من خلال حقن أو إزالة القدرات من الملفات…

CVE-2026-7280

ثغرة مسار الخدمة غير المحاط بعلامات في AVACAST تسمح بتنفيذ أكواد عشوائية

20:07 KSA

متوسط CVSS 6.7 CWE-428

تحتوي خدمة AVACAST على ثغرة في مسار الخدمة غير المحاط بعلامات اقتباس مما يسمح للمهاجمين المحليين بامتيازات بوضع ملفات تنفيذية ضارة. عند بدء الخدمة، يتم تنفيذ الملف الضار بصلاحيات النظام الكاملة.

CVE-2026-20202

تجاوز التحقق من صحة المدخلات في Splunk عند إنشاء أسماء المستخدمين باستخدام بايتات فارغة

02:16 KSA

متوسط CVSS 6.6 CWE-176

تحتوي إصدارات Splunk Enterprise و Cloud Platform على ثغرة في التحقق من صحة المدخلات تسمح للمستخدمين الذين يمتلكون صلاحية edit_user بإنشاء أسماء مستخدمين تحتوي على بايتات فارغة أو أحرف غير UTF-8 مشفرة بنسبة مئوية. يؤدي هذا إلى عدم اتساق في تحويل أسماء المستخدمين وقد يؤدي إلى عدم ا…

CVE-2026-28207

ثغرة حقن أوامر في مترجم Zen C عبر معامل اسم ملف الإخراج

05:22 KSA

متوسط CVSS 6.6 CWE-78

ثغرة حقن أوامر في مترجم Zen C تسمح للمهاجمين المحليين بتنفيذ أوامر shell عشوائية من خلال معامل اسم الملف -o. تحدث الثغرة لأن المترجم يدمج اسم الملف الذي يتحكم فيه المستخدم مباشرة في أمر shell يتم تنفيذه باستخدام دالة system() غير الآمنة.

CVE-2026-34277

ثغرة في Oracle PeopleSoft Enterprise PeopleTools Fluid Core تسمح بالوصول غير المصرح به للبيانات

04:54 KSA

متوسط CVSS 6.6

تؤثر هذه الثغرة على مكون Fluid Core في PeopleSoft Enterprise PeopleTools وتتطلب امتيازات عالية للاستغلال. يمكن للمهاجمين الوصول إلى البيانات وتعديلها وحذفها بشكل غير مصرح به، مما يؤثر على سرية وتكامل البيانات. قد يؤدي الهجوم أيضاً إلى تعطيل جزئي للخدمة والأنظمة المرتبطة بها.

CVE-2026-35255

ثغرة تنفيذ كود عشوائي في واجهة سطر الأوامر الأصلية لـ Oracle Cloud عبر متغيرات البيئة

18:18 KSA

متوسط CVSS 6.6

تؤثر هذه الثغرة على إصدار v2.3.2 من واجهة سطر الأوامر الأصلية لـ Oracle Cloud Native Environment، مما يسمح للمهاجمين غير المصرح لهم بتنفيذ كود عشوائي من خلال متغيرات البيئة الضارة. يمكن للمهاجمين استغلال هذه الثغرة بسهولة دون الحاجة إلى بيانات اعتماد المصادقة.

CVE-2026-4135

ثغرة كتابة ملفات عشوائية في أداة إصلاح برامج لينوفو

02:16 KSA

متوسط CVSS 6.6 CWE-59

تم اكتشاف ثغرة أمنية في أداة إصلاح برامج لينوفو تسمح للمستخدمين المصرحين محليًا بكتابة ملفات عشوائية مع صلاحيات مرتفعة أثناء عملية التثبيت. يمكن استغلال هذه الثغرة لتنفيذ أكواد ضارة واختراق سلامة النظام.

CVE-2026-5959

ثغرة مصادقة في معالج إعادة تعيين مصنع جهاز التوجيه GL.iNet (CVE-2026-5959)

22:23 KSA

متوسط CVSS 6.6 CWE-287

تؤثر هذه الثغرة على معالج إعادة التعيين في أجهزة التوجيه GL.iNet من الإصدار 1.8.1. يمكن للمهاجمين البعيدين التلاعب بالمكون لتجاوز آليات المصادقة. الترقية إلى الإصدار 1.8.2 تحل المشكلة بشكل كامل.

CVE-2026-6941

ثغرة اجتياز المسار في radare2 عبر ملاحظات مرتبطة برموز في أرشيفات .zrp

03:36 KSA

متوسط CVSS 6.6 CWE-59

تؤثر هذه الثغرة على أداة تحليل البرامج الثنائية radare2 وتسمح بالوصول غير المصرح به للملفات من خلال استغلال معالجة الأرشيفات. يمكن للمهاجمين إنشاء أرشيفات .zrp ضارة تحتوي على روابط رمزية لتجاوز قيود الأمان وقراءة أو تعديل ملفات حساسة.

CVE-2018-25311

VideoFlow Digital Video Protection DVP 2.10 contains an authenticated directory traversal vulnerability that allows auth

17:48 KSA

متوسط CVSS 6.5 CWE-22

VideoFlow Digital Video Protection DVP 2.10 contains an authenticated directory traversal vulnerability that allows authenticated attackers to disclose arbitrary files by injecting path traversal sequences in the ID parameter. Attackers can submit requests to downloadsys.pl, down…

CVE-2018-25312

LifeSize ClearSea 3.1.4 contains directory traversal vulnerabilities that allow authenticated attackers to download and

20:09 KSA

متوسط CVSS 6.5 CWE-22

LifeSize ClearSea 3.1.4 contains directory traversal vulnerabilities that allow authenticated attackers to download and upload arbitrary files by manipulating path parameters in the smartgui interface. Attackers can exploit the upload endpoint with directory traversal sequences t…

CVE-2019-25574

Green CMS 2.x contains a path traversal vulnerability that allows authenticated attackers to download arbitrary files an

09:54 KSA

متوسط CVSS 6.5 CWE-22

Green CMS 2.x contains a path traversal vulnerability that allows authenticated attackers to download arbitrary files and directories by injecting directory traversal sequences. Attackers can manipulate the theme_name parameter in the themeexporthandle action or supply base64-enc…

CVE-2019-25582

i-doit CMDB 1.12 contains an arbitrary file download vulnerability that allows authenticated attackers to download sensi

09:54 KSA

متوسط CVSS 6.5 CWE-434

i-doit CMDB 1.12 contains an arbitrary file download vulnerability that allows authenticated attackers to download sensitive files by manipulating the file parameter in index.php. Attackers can send GET requests to index.php with file_manager=image and supply arbitrary file paths…

CVE-2019-25600

UltraVNC Viewer 1.2.2.4 contains a denial of service vulnerability that allows attackers to crash the application by sup

09:54 KSA

متوسط CVSS 6.5 CWE-787

UltraVNC Viewer 1.2.2.4 contains a denial of service vulnerability that allows attackers to crash the application by supplying an oversized string to the VNC Server input field. Attackers can paste a malicious string containing 256 repeated characters into the VNC Server field an…

CVE-2026-41300

ثغرة رفض الثقة في OpenClaw تسمح بإعادة توجيه بيانات الاعتماد

07:54 KSA

متوسط CVSS 6.5 CWE-372

تؤثر هذه الثغرة على عمليات الإعداد البعيد في OpenClaw حيث يمكن للمهاجمين الحفاظ على نقاط نهاية خبيثة مكتشفة بعد عملية رفض الثقة. يمكن للمهاجمين استخدام هذه النقاط النهاية لإعادة توجيه بيانات اعتماد البوابة الحساسة إلى أنظمتهم الخاصة. تتطلب الهجمات قبول يدوي من المشغل، مما يقلل من…

CVE-2026-41369

حقن متغيرات البيئة في OpenClaw في تنفيذ المضيف

06:18 KSA

متوسط CVSS 6.5 CWE-668

يفتقر OpenClaw قبل الإصدار 2026.3.31 إلى تنقية كافية لمتغيرات البيئة المستخدمة في عمليات التنفيذ على المضيف، مما يسمح بحقن متغيرات ضارة. يمكن للمهاجمين استغلال هذا الضعف لتجاوز التكوينات الحرجة مثل إعدادات الحزم والسجل و Docker والمترجم و TLS.

CVE-2026-7259

ثغرة إلغاء المؤشر الفارغ في دالة mb_regex_encoding بـ PHP

01:00 KSA

متوسط CVSS 6.5 CWE-476

تحتوي هذه الثغرة على عدم تطابق بين قوائم الترميز في مكتبات Oniguruma و mbfl مما يؤدي إلى إلغاء مؤشر فارغ. يمكن استغلال الثغرة عندما يتمكن المهاجم من التحكم في مدخلات المستخدم التي تؤثر على معاملات الترميز المرسلة للدوال.

CVE-2021-47907

Rocket LMS 1.1 contains a persistent cross-site scripting vulnerability in the support ticket module that allows authent

20:16 KSA

متوسط CVSS 6.4 CWE-79

Rocket LMS 1.1 contains a persistent cross-site scripting vulnerability in the support ticket module that allows authenticated users to inject malicious script code through the title parameter. Attackers can submit support tickets with embedded HTML/JavaScript payloads that execu…

CVE-2021-47910

AccessPress Social Icons 1.8.2 contains a stored cross-site scripting vulnerability that allows authenticated attackers

20:16 KSA

متوسط CVSS 6.4 CWE-79

AccessPress Social Icons 1.8.2 contains a stored cross-site scripting vulnerability that allows authenticated attackers to inject malicious scripts by entering JavaScript payloads into the 'icon title' field. Attackers can store XSS payloads like image tags with onerror event han…

CVE-2021-47922

Slider by Soliloquy 2.6.2 contains a stored cross-site scripting vulnerability that allows authenticated attackers to in

20:16 KSA

متوسط CVSS 6.4 CWE-79

Slider by Soliloquy 2.6.2 contains a stored cross-site scripting vulnerability that allows authenticated attackers to inject malicious scripts through the title parameter. Attackers can add JavaScript payloads in the title field when creating or editing sliders, which executes in…

CVE-2021-47924

Ultimate Product Catalog 5.8.2 contains a stored cross-site scripting vulnerability that allows authenticated attackers

20:16 KSA

متوسط CVSS 6.4 CWE-79

Ultimate Product Catalog 5.8.2 contains a stored cross-site scripting vulnerability that allows authenticated attackers to inject malicious scripts through the price parameter. Attackers can submit POST requests to post.php with HTML/JavaScript payloads in the price field to exec…

CVE-2021-47925

CMDBuild 3.3.2 contains multiple stored cross-site scripting vulnerabilities that allow authenticated attackers to injec

20:16 KSA

متوسط CVSS 6.4 CWE-79

CMDBuild 3.3.2 contains multiple stored cross-site scripting vulnerabilities that allow authenticated attackers to inject arbitrary web script or HTML via crafted input in card creation and file upload endpoints. Attackers can inject XSS payloads through Employee card parameters …

CVE-2021-47926

Contact Form to Email 1.3.24 contains a stored cross-site scripting vulnerability that allows authenticated attackers to

20:16 KSA

متوسط CVSS 6.4 CWE-79

Contact Form to Email 1.3.24 contains a stored cross-site scripting vulnerability that allows authenticated attackers to inject malicious scripts by creating forms with script tags in the form name field. Attackers can craft form names containing JavaScript code that executes whe…

CVE-2021-47927

WordPress Plugin WP Symposium Pro 2021.10 contains a stored cross-site scripting vulnerability that allows authenticated

20:16 KSA

متوسط CVSS 6.4 CWE-79

WordPress Plugin WP Symposium Pro 2021.10 contains a stored cross-site scripting vulnerability that allows authenticated attackers to inject malicious scripts by exploiting insufficient sanitization of the forum name parameter. Attackers can submit POST requests to the admin setu…

CVE-2021-47929

Filterable Portfolio Gallery 1.0 contains a stored cross-site scripting vulnerability that allows authenticated attacker

20:16 KSA

متوسط CVSS 6.4 CWE-79

Filterable Portfolio Gallery 1.0 contains a stored cross-site scripting vulnerability that allows authenticated attackers to inject malicious JavaScript by entering payloads in the title field. Attackers can store JavaScript code like image tags with onerror handlers that execute…

CVE-2021-47931

Exponent CMS 2.6 contains a stored cross-site scripting vulnerability that allows authenticated attackers to inject mali

20:16 KSA

متوسط CVSS 6.4 CWE-79

Exponent CMS 2.6 contains a stored cross-site scripting vulnerability that allows authenticated attackers to inject malicious scripts through the Title and Text Block parameters in the text editing endpoint. Attackers can inject iframe payloads with embedded SVG onload events to …

CVE-2021-47947

Projectsend r1295 contains a stored cross-site scripting vulnerability that allows authenticated attackers to inject mal

20:16 KSA

متوسط CVSS 6.4 CWE-79

Projectsend r1295 contains a stored cross-site scripting vulnerability that allows authenticated attackers to inject malicious scripts by submitting crafted input in the 'name' parameter of files-edit.php. Attackers can inject JavaScript payloads through the file name field that …

CVE-2021-47950

Advanced Guestbook 2.4.4 contains a persistent cross-site scripting vulnerability in the smilies administration interfac

20:16 KSA

متوسط CVSS 6.4 CWE-79

Advanced Guestbook 2.4.4 contains a persistent cross-site scripting vulnerability in the smilies administration interface that allows authenticated attackers to inject malicious scripts by manipulating the s_emotion parameter. Attackers can submit POST requests to admin.php with …

CVE-2021-47951

WordPress Picture Gallery 1.4.2 contains a stored cross-site scripting vulnerability that allows authenticated attackers

20:16 KSA

متوسط CVSS 6.4 CWE-79

WordPress Picture Gallery 1.4.2 contains a stored cross-site scripting vulnerability that allows authenticated attackers to inject malicious scripts through the Edit Content URL field in the Access Control settings. Attackers can enter JavaScript payloads in the plugin options th…

CVE-2022-50945

WordPress 3dady real-time web stats plugin 1.0 contains a stored cross-site scripting vulnerability that allows authenti

20:16 KSA

متوسط CVSS 6.4 CWE-79

WordPress 3dady real-time web stats plugin 1.0 contains a stored cross-site scripting vulnerability that allows authenticated attackers to inject malicious JavaScript by exploiting unsanitized input fields. Attackers can insert JavaScript payloads in the dady_input_text or dady2_…

CVE-2022-50946

WordPress Plugin Netroics Blog Posts Grid 1.0 contains a stored cross-site scripting vulnerability that allows authentic

20:16 KSA

متوسط CVSS 6.4 CWE-79

WordPress Plugin Netroics Blog Posts Grid 1.0 contains a stored cross-site scripting vulnerability that allows authenticated editors to inject malicious scripts by failing to sanitize the post_title parameter. Attackers with editor privileges can inject script payloads through th…

CVE-2022-50947

WordPress Plugin Testimonial Slider and Showcase 2.2.6 contains a stored cross-site scripting vulnerability that allows

20:16 KSA

متوسط CVSS 6.4 CWE-79

WordPress Plugin Testimonial Slider and Showcase 2.2.6 contains a stored cross-site scripting vulnerability that allows authenticated editors to inject malicious scripts by failing to sanitize the post_title parameter. Attackers with editor privileges can inject JavaScript payloa…

CVE-2022-50948

Motopress Hotel Booking Lite 4.2.4 contains a stored cross-site scripting vulnerability that allows authenticated attack

20:16 KSA

متوسط CVSS 6.4 CWE-79

Motopress Hotel Booking Lite 4.2.4 contains a stored cross-site scripting vulnerability that allows authenticated attackers to inject malicious scripts by submitting payloads in accommodation type fields. Attackers can inject script tags through the title and excerpt parameters w…

CVE-2022-50949

WordPress Plugin Videos sync PDF 1.7.4 contains a stored cross-site scripting vulnerability that allows authenticated at

20:16 KSA

متوسط CVSS 6.4 CWE-79

WordPress Plugin Videos sync PDF 1.7.4 contains a stored cross-site scripting vulnerability that allows authenticated attackers to inject malicious scripts by exploiting unsanitized nom, pdf, mp4, webm, and ogg parameters. Attackers can inject payloads like autofocus onfocus even…

CVE-2022-50961

WordPress Plugin IP2Location Country Blocker 2.26.7 contains a stored cross-site scripting vulnerability that allows aut

20:16 KSA

متوسط CVSS 6.4 CWE-79

WordPress Plugin IP2Location Country Blocker 2.26.7 contains a stored cross-site scripting vulnerability that allows authenticated users to inject arbitrary JavaScript code through the Frontend Settings interface. Attackers can inject malicious scripts in the URL field of the Dis…

CVE-2026-8217

حقن أوامر نظام التشغيل في واجهة RMI لبرنامج IAS Canias ERP 8.03

11:00 KSA

متوسط CVSS 6.3 CWE-77

يؤثر هذا الثغرة على برنامج IAS Canias ERP الإصدار 8.03 حيث يمكن للمهاجمين البعيدين تنفيذ أوامر نظام التشغيل التعسفية عبر معالجة معاملات troiaCode في مكون واجهة RMI. تم إطلاق استغلالات عامة للثغرة ولم يستجب البائع لمحاولات الإفصاح المبكرة.

CVE-2026-8227

ثغرة حقن أوامر نظام التشغيل في جهاز Wavlink NU516U1 في دالة wzdapMesh

14:18 KSA

متوسط CVSS 6.3 CWE-77

تؤثر هذه الثغرة على أجهزة Wavlink NU516U1 من خلال دالة wzdapMesh في ملف /cgi-bin/adm.cgi. يمكن للمهاجمين البعيدين تنفيذ أوامر نظام التشغيل التعسفية دون مصادقة، مما يسمح بالسيطرة الكاملة على الجهاز.

CVE-2026-8228

ثغرة حقن أوامر النظام في جهاز Wavlink NU516U1 في إعدادات الشبكة اللاسلكية

14:18 KSA

متوسط CVSS 6.3 CWE-77

ثغرة حقن أوامر النظام في جهاز Wavlink NU516U1 تسمح للمهاجمين البعيدين بتنفيذ أوامر تعسفية من خلال معالجة غير آمنة لمعاملات إعدادات الشبكة اللاسلكية. تم الكشف عن الاستغلال علناً مما يزيد من خطر الهجمات الفورية على المنظمات السعودية.

CVE-2026-8229

حقن أوامر نظام التشغيل في إعدادات الشبكة اللاسلكية Wavlink NU516U1

14:18 KSA

متوسط CVSS 6.3 CWE-77

تؤثر هذه الثغرة على أجهزة توجيه Wavlink NU516U1 الإصدار 240425 وتسمح بحقن أوامر نظام التشغيل عن بعد. يمكن للمهاجمين معالجة معاملات AuthMethod و EncrypType في دالة WifiBasic لتنفيذ أوامر تعسفية. الاستغلال متاح بشكل عام وقد يتم استخدامه بنشاط ضد الأجهزة المعرضة.

CVE-2026-8230

ثغرة حقن أوامر النظام في جهاز Wavlink NU516U1 عبر معامل ipaddr

14:18 KSA

متوسط CVSS 6.3 CWE-77

ثغرة في جهاز التوجيه Wavlink NU516U1 تسمح بحقن أوامر نظام التشغيل عبر معامل ipaddr غير المحقق في ملف /cgi-bin/login.cgi. يمكن للمهاجمين البعيدين استغلال هذه الثغرة لتنفيذ أوامر تعسفية على الأجهزة المتأثرة دون الحاجة إلى المصادقة.

CVE-2026-8231

ثغرة حقن SQL في معامل ID بملف deleteorder.php في نظام CodeAstro للطعام

14:18 KSA

متوسط CVSS 6.3 CWE-74

ثغرة حقن SQL في ملف deleteorder.php بنظام CodeAstro للطلبات عبر الإنترنت تسمح بتمرير معاملات ID ضارة. يمكن للمهاجمين البعيدين الوصول إلى قاعدة البيانات وتعديل أو حذف البيانات الحساسة دون تفويض.

CVE-2022-50954

ثغرة Local File Inclusion في إضافة WordPress cab-fare-calculator عبر Path Traversal

20:16 KSA

متوسط CVSS 6.2 CWE-98

تحتوي إضافة WordPress cab-fare-calculator الإصدار 1.0.3 على ثغرة تضمين ملفات محلية في ملف tblight.php تسمح للمهاجمين غير المصرح لهم بقراءة ملفات عشوائية من خلال معامل controller. يمكن للمهاجمين استخدام تسلسلات path traversal للوصول إلى ملفات الإعدادات الحساسة وتنفيذ أكواد عشوائية…

CVE-2022-50956

ثغرة قراءة ملفات عشوائية في إضافة WordPress amministrazione-aperta

20:16 KSA

متوسط CVSS 6.2 CWE-22

تحتوي إضافة WordPress amministrazione-aperta الإصدار 3.7.3 على ثغرة في قراءة الملفات المحلية تسمح للمهاجمين غير المصرح لهم بقراءة ملفات عشوائية من خلال استغلال التحقق غير الكافي من صحة المدخلات في معامل open. يمكن للمهاجمين توفير مسارات ملفات من خلال معامل GET في dispatcher.php ل…

CVE-2022-50943

Moodle LMS 4.0 contains a cross-site scripting vulnerability that allows unauthenticated attackers to inject malicious s

20:16 KSA

متوسط CVSS 6.1 CWE-79

Moodle LMS 4.0 contains a cross-site scripting vulnerability that allows unauthenticated attackers to inject malicious scripts by submitting payloads through the search parameter. Attackers can inject JavaScript code via the search field in course/search.php to execute arbitrary …

CVE-2022-50957

Drupal avatar_uploader 7.x-1.0-beta8 contains a reflected cross-site scripting vulnerability that allows unauthenticated

20:16 KSA

متوسط CVSS 6.1 CWE-79

Drupal avatar_uploader 7.x-1.0-beta8 contains a reflected cross-site scripting vulnerability that allows unauthenticated attackers to inject malicious scripts by manipulating the file parameter. Attackers can craft URLs with script payloads in the file parameter of avatar_uploade…

CVE-2022-50958

WordPress Plugin Jetpack 9.1 contains a reflected cross-site scripting vulnerability that allows unauthenticated attacke

20:16 KSA

متوسط CVSS 6.1 CWE-79

WordPress Plugin Jetpack 9.1 contains a reflected cross-site scripting vulnerability that allows unauthenticated attackers to inject malicious scripts by manipulating the post_id parameter. Attackers can craft URLs to the grunion-form-view.php endpoint with script payloads in the…

CVE-2022-50959

WordPress Contact Form Builder 1.6.1 contains a reflected cross-site scripting vulnerability that allows unauthenticated

20:16 KSA

متوسط CVSS 6.1 CWE-79

WordPress Contact Form Builder 1.6.1 contains a reflected cross-site scripting vulnerability that allows unauthenticated attackers to inject malicious scripts by exploiting the form_id parameter. Attackers can craft malicious URLs to code_generator.php with script payloads in the…

CVE-2022-50960

WordPress International Sms For Contact Form 7 Integration version 1.2 contains a reflected cross-site scripting vulnera

20:16 KSA

متوسط CVSS 6.1 CWE-79

WordPress International Sms For Contact Form 7 Integration version 1.2 contains a reflected cross-site scripting vulnerability in the page parameter of the admin settings interface. Attackers can inject malicious scripts through the page parameter in class-sms-log-display.php to …

CVE-2022-50962

uBidAuction 2.0.1 contains a reflected cross-site scripting vulnerability in the orders/myOrders module. The date_create

20:16 KSA

متوسط CVSS 6.1 CWE-79

uBidAuction 2.0.1 contains a reflected cross-site scripting vulnerability in the orders/myOrders module. The date_created, date_from, date_to, and created_at parameters in the filter functionality are not properly sanitized, allowing remote attackers to inject malicious scripts v…

CVE-2022-50963

uBidAuction 2.0.1 contains a reflected cross-site scripting vulnerability in the auctions/myAuctions/status/active modul

20:16 KSA

متوسط CVSS 6.1 CWE-79

uBidAuction 2.0.1 contains a reflected cross-site scripting vulnerability in the auctions/myAuctions/status/active module. The date_created, date_from, date_to, and created_at parameters in the filter functionality are not properly sanitized, allowing remote attackers to inject m…

CVE-2022-50964

uBidAuction 2.0.1 contains a reflected cross-site scripting vulnerability in the auctions/myAuctions/status/loose module

20:16 KSA

متوسط CVSS 6.1 CWE-79

uBidAuction 2.0.1 contains a reflected cross-site scripting vulnerability in the auctions/myAuctions/status/loose module. The date_created, date_from, date_to, and created_at parameters in the filter functionality are not properly sanitized, allowing remote attackers to inject ma…

CVE-2022-50965

uBidAuction 2.0.1 contains a reflected cross-site scripting vulnerability in the posts/manage module. The date_created,

20:16 KSA

متوسط CVSS 6.1 CWE-79

uBidAuction 2.0.1 contains a reflected cross-site scripting vulnerability in the posts/manage module. The date_created, date_from, date_to, and created_at parameters in the filter functionality are not properly sanitized, allowing remote attackers to inject malicious scripts via …

CVE-2022-50966

uBidAuction 2.0.1 contains a reflected cross-site scripting vulnerability in the news/manage module. The date_created, d

20:16 KSA

متوسط CVSS 6.1 CWE-79

uBidAuction 2.0.1 contains a reflected cross-site scripting vulnerability in the news/manage module. The date_created, date_from, date_to, and created_at parameters in the filter functionality are not properly sanitized, allowing remote attackers to inject malicious scripts via c…

CVE-2022-50967

uBidAuction 2.0.1 contains a reflected cross-site scripting vulnerability in the tickets/manage module. The date_created

20:16 KSA

متوسط CVSS 6.1 CWE-79

uBidAuction 2.0.1 contains a reflected cross-site scripting vulnerability in the tickets/manage module. The date_created, date_from, date_to, and created_at parameters in the filter functionality are not properly sanitized, allowing remote attackers to inject malicious scripts vi…

CVE-2022-50968

uBidAuction 2.0.1 contains a reflected cross-site scripting vulnerability in the auctions/manage module. The date_create

20:16 KSA

متوسط CVSS 6.1 CWE-79

uBidAuction 2.0.1 contains a reflected cross-site scripting vulnerability in the auctions/manage module. The date_created, date_from, date_to, and created_at parameters in the filter functionality are not properly sanitized, allowing remote attackers to inject malicious scripts v…

CVE-2022-50969

uBidAuction 2.0.1 contains a reflected cross-site scripting vulnerability in the backend/mailingLog/manage module. The d

20:16 KSA

متوسط CVSS 6.1 CWE-79

uBidAuction 2.0.1 contains a reflected cross-site scripting vulnerability in the backend/mailingLog/manage module. The date_created, date_from, date_to, and created_at parameters in the filter functionality are not properly sanitized, allowing remote attackers to inject malicious…

CVE-2026-6735

ثغرة XSS في صفحة حالة PHP FPM عبر عدم تنظيف المدخلات بشكل صحيح

01:00 KSA

متوسط CVSS 6.1 CWE-79

تؤثر هذه الثغرة على صفحة حالة PHP-FPM حيث يفشل التطبيق في تنظيف بيانات المستخدم بشكل صحيح. يمكن للمهاجمين استغلال هذا الضعف لتنفيذ كود JavaScript عشوائي في متصفح المستخدم المستهدف.

CVE-2026-8235

حقن أوامر نظام التشغيل في معالج أوامر نظام 8421bit MiniClaw

14:18 KSA

متوسط CVSS 5.5 CWE-77

تؤثر هذه الثغرة على مكون معالج أوامر النظام في 8421bit MiniClaw حيث يمكن للمهاجمين تنفيذ أوامر نظام التشغيل التعسفية من خلال دالة resolveSkillScriptPath غير المحمية. الاستغلال متاح علناً مما يزيد من خطر الهجمات الفورية على الأنظمة المتأثرة.

CVE-2021-47948

WordPress GetPaid Plugin 2.4.6 contains an HTML injection vulnerability that allows authenticated attackers to inject ar

20:16 KSA

متوسط CVSS 5.4 CWE-80

WordPress GetPaid Plugin 2.4.6 contains an HTML injection vulnerability that allows authenticated attackers to inject arbitrary HTML code by exploiting the Help Text field in payment forms. Attackers can inject malicious HTML including image tags and scripts into the Help Text fi…

CVE-2022-50970

WordPress Plugin AAWP 3.16 contains a reflected cross-site scripting vulnerability that allows authenticated attackers t

20:16 KSA

متوسط CVSS 5.4 CWE-79

WordPress Plugin AAWP 3.16 contains a reflected cross-site scripting vulnerability that allows authenticated attackers to inject malicious scripts by manipulating the tab parameter. Attackers can craft URLs with XSS payloads in the tab parameter of the aawp-settings admin page to…

CVE-2021-47946

OpenCart 3.0.36 contains a cross-site request forgery vulnerability in the /account/edit endpoint that allows unauthenti

20:16 KSA

متوسط CVSS 5.3 CWE-352

OpenCart 3.0.36 contains a cross-site request forgery vulnerability in the /account/edit endpoint that allows unauthenticated attackers to modify victim account details by tricking users into visiting malicious pages. Attackers can craft CSRF payloads that change victim email add…

CVE-2026-8210

حقن الأوامر في معالج التحديث aandrew-me tgpt (CVE-2026-8210)

06:32 KSA

متوسط CVSS 5.3 CWE-74

ثغرة حقن الأوامر في مكون معالج التحديث (helper.Update) في ملف helper.go تسمح بتنفيذ أوامر تعسفية. تتطلب الثغرة وصولاً محلياً إلى النظام المتأثر وقد تم الكشف عنها علناً.

CVE-2026-8212

تجاوز المخزن المؤقت في مكتبة OSGeo GDAL بوحدة HDF4

06:32 KSA

متوسط CVSS 5.3 CWE-119

تؤثر هذه الثغرة على مكتبة معالجة البيانات الجغرافية OSGeo GDAL وتسمح بتجاوز المخزن المؤقت على الكومة عند معالجة ملفات HDF4. يتطلب الاستغلال وصولاً محلياً للنظام المتأثر.

CVE-2026-8213

ثغرة تجاوز المخزن المؤقت في معالج ملفات الشبكة بمكتبة OSGeo GDAL

06:32 KSA

متوسط CVSS 5.3 CWE-119

تؤثر هذه الثغرة على مكتبة OSGeo GDAL وتحديداً على دالة GDSDfldsrch في معالج ملفات الشبكة (Grid File Handler) الخاص بصيغة HDF4. يمكن للمهاجم المحلي استغلال هذه الثغرة للتسبب في تجاوز المخزن المؤقت على الكومة (heap-based buffer overflow).

CVE-2026-8214

ثغرة تجاوز المصادقة في واجهة RMI بتطبيق IAS Canias ERP 8.03 عبر معرف الجلسة

11:00 KSA

متوسط CVSS 5.3 CWE-287

تم اكتشاف ثغرة في تطبيق IAS Canias ERP 8.03 في وظيفة doAction بواجهة RMI حيث يمكن للمهاجمين التلاعب بمعرف الجلسة (sessionId) لتجاوز آليات المصادقة. يمكن تنفيذ الهجوم عن بعد وتوجد استكشافات عامة متاحة للاستخدام.

CVE-2026-8215

ثغرة المسار المتقاطع في واجهة RMI لنظام IAS Canias ERP 8.03

11:00 KSA

متوسط CVSS 5.3 CWE-22

ثغرة المسار المتقاطع في نظام IAS Canias ERP 8.03 تسمح للمهاجمين البعيدين بالوصول إلى الملفات غير المصرح بها من خلال معالجة معامل m_strSourceFileName في واجهة RMI. تم الكشف عن هذه الثغرة علناً ولم يستجب البائع لأي إجراء إصلاحي.

CVE-2026-8222

ثغرة حجب الخدمة في Open5GS pcf_nbsf_management_handle_register

11:00 KSA

متوسط CVSS 5.3 CWE-404

تم اكتشاف ثغرة حجب الخدمة في Open5GS الإصدار 2.7.7 وما قبله في دالة معالجة سياسات الجلسة. يمكن للمهاجمين البعيدين استغلال هذه الثغرة لإيقاف خدمات 5G. تم الكشف عن الثغرة علناً وقد تكون قيد الاستخدام الفعلي.

CVE-2026-8223

ثغرة حجب الخدمة في نقطة نهاية Open5GS sm-policies (CVE-2026-8223)

11:00 KSA

متوسط CVSS 5.3 CWE-404

ثغرة حجب الخدمة في Open5GS تؤثر على مكون سياسات الجلسة (sm-policies) في الإصدارات حتى 2.7.7. يمكن للمهاجمين استغلال وظيفة pcf_sess_sbi_discover_and_send عن بعد لإيقاف الخدمة. تم الإفصاح العام عن الثغرة وتوفر استغلالات عملية لها.

CVE-2026-8224

ثغرة حجب الخدمة في Open5GS PCF لبادئة IPv6

11:00 KSA

متوسط CVSS 5.3 CWE-404

يؤثر هذا الضعف على مكون Policy and Charging Function (PCF) في Open5GS، وهو نظام أساسي مفتوح المصدر لشبكات الجيل الخامس. يمكن للمهاجمين البعيدين إرسال طلبات SmPolicyContextData مصنوعة بشكل خاص تحتوي على قيم بادئة IPv6 غير صحيحة لتسبب حالة حجب الخدمة. الثغرة موجودة في الدالة pcf_se…

CVE-2026-8225

ثغرة حرمان الخدمة في Open5GS PCF SM Policy Control Delete

14:18 KSA

متوسط CVSS 5.3 CWE-404

تؤثر هذه الثغرة على مكون وظيفة التحكم في سياسة جلسة العمل (SM Policy Control) في Open5GS PCF، وهو مكون حرج في بنية شبكات 5G. يمكن للمهاجمين البعيدين استغلال نقطة نهاية الحذف لإحداث حرمان من الخدمة، مما قد يؤثر على توفر خدمات 5G.

CVE-2026-8226

ثغرة حجب الخدمة في تثبيت قواعد PCC في Open5GS

14:18 KSA

متوسط CVSS 5.3 CWE-404

تؤثر هذه الثغرة على مكتبة معالجة البروتوكول في Open5GS وتسمح بحجب الخدمة من خلال التلاعب بدالة تثبيت قواعد الفرض المالي. الهجوم يمكن إطلاقه عن بعد دون الحاجة إلى بيانات اعتماد، مما يشكل تهديداً لتوفر خدمات 5G.

CVE-2026-8241

ثغرة التفويض غير الصحيح في واجهة RMI بـ IAS Canias ERP 8.03

17:36 KSA

متوسط CVSS 5.3 CWE-266

تؤثر هذه الثغرة على دالة iasGetServerInfoEvent في مكون واجهة RMI بـ IAS Canias ERP 8.03، مما يسمح بالوصول غير المصرح به عن بعد. تم الكشف عن الثغرة علناً وتتوفر استغلالات عامة لها، مما يزيد من خطر الاستغلال. لم يستجب البائع لإشعارات الكشف المبكرة.

CVE-2026-8243

مفتاح تشفير مشفر بشكل ثابت في نشر JNLP في Canias ERP 8.03

17:36 KSA

متوسط CVSS 5.3 CWE-320

تحتوي ثغرة CVE-2026-8243 على مفاتيح تشفير مشفرة بشكل ثابت في مكون نشر JNLP الخاص بـ Canias ERP 8.03. يمكن للمهاجمين البعيدين استغلال هذه الثغرة للوصول غير المصرح به إلى البيانات الحساسة والأنظمة الحرجة. البائع لم يستجب لطلبات الإفصاح المسؤول.

CVE-2026-8244

ثغرة تجاوز المصادقة في واجهة RMI لتسجيل الدخول بـ IAS Canias ERP 8.03

17:36 KSA

متوسط CVSS 5.3 CWE-287

تؤثر هذه الثغرة على مكون واجهة RMI لتسجيل الدخول في نظام IAS Canias ERP الإصدار 8.03، حيث يمكن للمهاجمين البعيدين التلاعب بمعامل clientVersion لتجاوز آليات المصادقة. تتوفر أدوات استغلال عامة للثغرة ولم يستجب البائع لطلبات الإفصاح المسؤول.

🇸🇦 النشرة الأمنية السعودية

عرّفنا بنفسك

تسجيل الدخول مطلوب