200
ثغرة
36
تهديد
1
خبر
1
حرجة
🛡 الثغرات الأمنية (CVE)
CVE-2026-41588
RELATE is a web-based courseware package. Prior to commit 2f68e16, there is a timing attack vulnerability in course/auth
04:55 KSA
RELATE is a web-based courseware package. Prior to commit 2f68e16, there is a timing attack vulnerability in course/auth.py — check_sign_in_key(). This issue has been patched via commit 2f68e16.
CVE-2021-47935
Sentry 8.2.0 contains a remote code execution vulnerability that allows authenticated superusers to execute arbitrary co
16:00 KSA
Sentry 8.2.0 contains a remote code execution vulnerability that allows authenticated superusers to execute arbitrary commands by injecting malicious pickle-serialized objects through the audit log entry data parameter. Attackers can submit crafted POST requests to the admin audi…
CVE-2021-47937
e107 CMS 2.3.0 contains a remote code execution vulnerability that allows authenticated users with theme installation pe
16:00 KSA
e107 CMS 2.3.0 contains a remote code execution vulnerability that allows authenticated users with theme installation permissions to execute arbitrary commands by uploading malicious theme files. Attackers can upload a crafted theme package through the theme.php endpoint that dep…
CVE-2021-47938
ImpressCMS 1.4.2 contains a remote code execution vulnerability in the autotasks administrative interface that allows au
16:00 KSA
ImpressCMS 1.4.2 contains a remote code execution vulnerability in the autotasks administrative interface that allows authenticated attackers to execute arbitrary PHP code by injecting malicious code into the sat_code parameter. Attackers can authenticate, submit a POST request t…
CVE-2021-47939
Evolution CMS 3.1.6 contains a remote code execution vulnerability that allows authenticated users with module creation
16:00 KSA
Evolution CMS 3.1.6 contains a remote code execution vulnerability that allows authenticated users with module creation permissions to execute arbitrary system commands by injecting PHP code into module parameters. Attackers can send POST requests to /manager/index.php with malic…
CVE-2021-47943
TextPattern CMS 4.8.7 contains a remote code execution vulnerability that allows authenticated attackers to execute arbi
16:00 KSA
TextPattern CMS 4.8.7 contains a remote code execution vulnerability that allows authenticated attackers to execute arbitrary commands by uploading malicious PHP files through the file upload functionality. Attackers can upload a PHP shell via the Files section in the content are…
CVE-2021-47949
CyberPanel 2.1 contains a command execution vulnerability that allows authenticated attackers to read arbitrary files an
23:45 KSA
CyberPanel 2.1 contains a command execution vulnerability that allows authenticated attackers to read arbitrary files and execute remote code by exploiting symlink attacks through the filemanager controller endpoint. Attackers can manipulate the completeStartingPath parameter in …
CVE-2022-50944
Aero CMS 0.0.1 contains a PHP code injection vulnerability that allows authenticated attackers to execute arbitrary PHP
23:45 KSA
Aero CMS 0.0.1 contains a PHP code injection vulnerability that allows authenticated attackers to execute arbitrary PHP code by uploading malicious files through the image parameter. Attackers can upload PHP files with embedded code to the admin posts.php endpoint with source=add…
CVE-2026-3425
ثغرة تضمين الملفات المحلية في إضافة RTMKit Addons for Elementor عبر معامل path في AJAX
22:51 KSA
ثغرة تضمين الملفات المحلية (LFI) في إضافة RTMKit Addons for Elementor تؤثر على جميع الإصدارات حتى 2.0.2 عبر معامل 'path' في إجراء AJAX 'get_content'. تسمح الثغرة للمهاجمين المصرحين برفع وتنفيذ ملفات PHP عشوائية، مما يؤدي إلى تنفيذ أكواد بعيدة وتجاوز آليات الحماية.
ثغرة تنفيذ كود بعيد مصرح بها في أداة تكوين F5 BIG-IP و BIG-IQ تسمح للمستخدمين المصرح لهم بتنفيذ كود تعسفي على الأنظمة المتأثرة. تؤثر الثغرة على الإصدارات النشطة فقط حيث لم يتم تقييم الإصدارات التي انتهت دعمها الفني.
CVE-2026-42203
LiteLLM is a proxy server (AI Gateway) to call LLM APIs in OpenAI (or native) format. From version 1.80.5 to before vers
23:45 KSA
LiteLLM is a proxy server (AI Gateway) to call LLM APIs in OpenAI (or native) format. From version 1.80.5 to before version 1.83.7, the POST /prompts/test endpoint accepted user-supplied prompt templates and rendered them without sandboxing. A crafted template could run arbitrary…
يؤثر هذا الثغر على مكتبة protobufjs التي تُستخدم لترجمة تعريفات protobuf إلى دوال JavaScript. يمكن للمهاجمين استغلال معالجة القيم الافتراضية غير الآمنة لحقول البايتات لحقن وتنفيذ كود تعسفي في بيئة التطبيق.
يحتوي ERPNext على ثغرات حقن SQL في عدة نقاط نهاية تسمح بتنفيذ استعلامات SQL غير مصرح بها. يمكن للمهاجمين استخدام هذه الثغرات لاستخراج بيانات حساسة من قواعد البيانات بما في ذلك معلومات العملاء والمعاملات المالية. الترقية إلى الإصدارات المصححة ضرورية لحماية البيانات الحساسة.
تؤثر هذه الثغرة على نقاط نهاية محددة في ERPNext وتسمح بتنفيذ استعلامات SQL غير مصرح بها. يمكن للمهاجمين استخراج بيانات حساسة مثل بيانات العملاء والمعاملات المالية والمعلومات السرية. الترقية إلى الإصدار 16.9.0 تصحح هذه الثغرة بالكامل.
CVE-2026-45229
ثغرة الإسناد الجماعي في Quark Drive تسمح بالكتابة فوق بيانات اعتماد المسؤول
22:51 KSA
تحتوي نقطة نهاية POST /update في Quark Drive على ثغرة إسناد جماعي تسمح للمستخدمين المصرح لهم بتجاوز آليات الحماية وإعادة كتابة بيانات اعتماد المسؤول. يمكن للمهاجمين استخدام هذه الثغرة لقفل المسؤولين الشرعيين والحصول على وصول دائم إلى جميع الخدمات والرموز المكونة. التصفية غير الكا…
CVE-2026-8260
A vulnerability was found in D-Link DCS-935L up to 1.10.01. The impacted element is the function SetDeviceSettings of th
23:45 KSA
A vulnerability was found in D-Link DCS-935L up to 1.10.01. The impacted element is the function SetDeviceSettings of the file /web/cgi-bin/hnap/hnap_service of the component HNAP Service. The manipulation of the argument AdminPassword results in buffer overflow. The attack can b…
يسمح هذا الضعف للمستخدمين المصرح لهم على الشبكة المحلية بتنفيذ أوامر تعسفية على أجهزة تخزين Lenovo Personal Cloud. قد يؤدي الاستغلال إلى الوصول غير المصرح به للبيانات الحساسة والتحكم الكامل بالجهاز.
CVE-2026-8234
A security vulnerability has been detected in EFM ipTIME A8004T 14.18.2. This vulnerability affects the function formWif
02:51 KSA
A security vulnerability has been detected in EFM ipTIME A8004T 14.18.2. This vulnerability affects the function formWifiBasicSet of the file /goform/WifiBasicSet. The manipulation of the argument security_5g leads to stack-based buffer overflow. The attack may be initiated remot…
CVE-2026-32643
A vulnerability exists in BIG-IP and BIG-IQ systems where a highly privileged, authenticated attacker with at least the
22:51 KSA
A vulnerability exists in BIG-IP and BIG-IQ systems where a highly privileged, authenticated attacker with at least the Certificate Manager role can modify configuration objects that allow running arbitrary commands. Note: Software versions which have reached End of Technical Su…
CVE-2026-32673
A vulnerability exists in BIG-IP scripted monitors that may allow an authenticated attacker with the Resource Administra
22:51 KSA
A vulnerability exists in BIG-IP scripted monitors that may allow an authenticated attacker with the Resource Administrator or Administrator role to execute arbitrary system commands with higher privileges. In appliance mode deployments, a successful exploit can allow the attacke…
CVE-2026-34176
When running in Appliance mode, an authenticated remote command injection vulnerability exists in an undisclosed iContro
22:51 KSA
When running in Appliance mode, an authenticated remote command injection vulnerability exists in an undisclosed iControl REST endpoint. A successful exploit can allow the attacker to cross a security boundary.
Note: Software versions which have reached End of Technical Suppor…
تؤثر هذه الثغرة على F5 BIG-IP DNS عندما يتم توفيرها، حيث يمكن لمسؤول مصرح بدور مسؤول الموارد أو المسؤول تنفيذ أوامر نظام عشوائية برفع الامتيازات. في نشر وضع الجهاز، يمكن للمهاجم الناجح عبور حدود الأمان والوصول إلى موارد النظام الحساسة.
تسمح هذه الثغرة للمستخدمين المصرحين بأدوار إدارية بتعديل كائنات التكوين الحساسة عبر بروتوكول iControl SOAP. يمكن للمهاجم استخدام هذا الوصول لتصعيد امتيازاته وكسب تحكم كامل على نظام BIG-IP. تؤثر الثغرة على الإصدارات المدعومة فقط من F5 BIG-IP.
CVE-2026-40698
A vulnerability exists in BIG-IP and BIG-IQ systems where a highly privileged, authenticated attacker with at least the
22:51 KSA
A vulnerability exists in BIG-IP and BIG-IQ systems where a highly privileged, authenticated attacker with at least the Resource Administrator role can create SNMP configuration objects through iControl REST or the TMOS shell (tmsh) resulting in privilege escalation. Note: Softw…
تسمح هذه الثغرة لمستخدم مصرح بدور مسؤول الموارد أو أعلى بتعديل كائنات التكوين في BIG-IP لتصعيد امتيازاته. تؤثر الثغرة على الإصدارات النشطة فقط من BIG-IP وليس على الإصدارات التي انتهت دعمتها الفنية.
CVE-2026-42406
A vulnerability exists in BIG-IP and BIG-IQ systems where a highly privileged, authenticated attacker with at least the
22:51 KSA
A vulnerability exists in BIG-IP and BIG-IQ systems where a highly privileged, authenticated attacker with at least the Certificate Manager role can modify configuration objects that allow running arbitrary commands. Note: Software versions which have reached End of Technical…
CVE-2026-42924
An authenticated attacker with the Resource Administrator or Administrator role can create SNMP configuration objects th
22:51 KSA
An authenticated attacker with the Resource Administrator or Administrator role can create SNMP configuration objects through iControl SOAP resulting in privilege escalation. Note: Software versions which have reached End of Technical Support (EoTS) are not evaluated.
CVE-2026-42930
When running in Appliance mode, an authenticated attacker assigned the 'Administrator' role may be able to bypass Applia
22:51 KSA
When running in Appliance mode, an authenticated attacker assigned the 'Administrator' role may be able to bypass Appliance mode restrictions on a BIG-IP system.
Note: Software versions which have reached End of Technical Support (EoTS) are not evaluated.
تحتوي ثغرة CVE-2026-44295 على فشل في تنظيف معرفات JavaScript المشتقة من أسماء مُتحكم بها من قبل الأنماط في أداة سطر الأوامر protobufjs-cli. قد يسمح هذا الفشل بإدراج كود ضار أو معرفات غير آمنة في الملفات المُنتجة عند معالجة أنماط بروتوكول buffer مصممة بحرفية.
CVE-2020-37221
Atomic Alarm Clock 6.3 contains a stack overflow vulnerability that allows local attackers to execute arbitrary code by
22:51 KSA
Atomic Alarm Clock 6.3 contains a stack overflow vulnerability that allows local attackers to execute arbitrary code by supplying a malicious string to the display name textbox in the Time Zones Clock configuration. Attackers can craft a buffer with structured exception handling …
CVE-2020-37218
Joomla com_hdwplayer 4.2 contains an SQL injection vulnerability in the search.php file that allows unauthenticated atta
22:51 KSA
Joomla com_hdwplayer 4.2 contains an SQL injection vulnerability in the search.php file that allows unauthenticated attackers to execute arbitrary SQL queries by injecting malicious code through the hdwplayersearch parameter. Attackers can submit POST requests with crafted SQL pa…
ثغرة حقن SQL العمياء في نظام OpenCart TMD Vendor الإصدار 3.x تسمح للمهاجمين غير المصرح لهم بالوصول إلى معلومات حساسة من قاعدة البيانات. يمكن استخدام تقنيات الحقن المستندة إلى الوقت أو المحتوى لاستخراج بيانات المستخدمين وأكواد إعادة تعيين كلمات المرور. هذه الثغرة تؤثر على سلامة ال…
CVE-2021-47930
Balbooa Joomla Forms Builder 2.0.6 contains an unauthenticated SQL injection vulnerability in the form submission handle
16:00 KSA
Balbooa Joomla Forms Builder 2.0.6 contains an unauthenticated SQL injection vulnerability in the form submission handler that allows remote attackers to execute arbitrary SQL queries. Attackers can send POST requests to the com_baforms component with malicious JSON payloads in t…
تحتوي إضافة WordPress Survey & Poll الإصدار 1.5.7.3 على ثغرة حقن SQL في معامل ملف تعريف الارتباط wp_sap تسمح للمهاجمين بتنفيذ استعلامات SQL عشوائية دون المصادقة. يمكن للمهاجمين استخراج معلومات حساسة من قاعدة البيانات بما في ذلك أسماء المستخدمين وكلمات المرور والبيانات السرية الأخ…
تتعلق هذه الثغرة بنقطة نهاية iControl REST غير معروفة في BIG-IQ تسمح لمستخدم مصرح له بامتيازات منخفضة بإساءة استخدام آلية اجتياز المسار. يمكن للمهاجم استخدام هذا لإنشاء أو تعديل ملفات حساسة على النظام، مما قد يؤدي إلى تصعيد الامتيازات أو تعطيل الخدمات.
CVE-2026-42463
SQLBot is an intelligent Text-to-SQL system based on large language models and RAG. Prior to 1.8.0, SQLBot contains a Cr
22:51 KSA
SQLBot is an intelligent Text-to-SQL system based on large language models and RAG. Prior to 1.8.0, SQLBot contains a Cross-Workspace IDOR (Insecure Direct Object Reference) and Authorization Bypass vulnerability in the /api/v1/datasource/exportDsSchema and /api/v1/datasource/upl…
CVE-2026-6282
A potential improper file path validation vulnerability was reported in some Lenovo Personal Cloud Storage devices that
22:51 KSA
A potential improper file path validation vulnerability was reported in some Lenovo Personal Cloud Storage devices that could allow a remote authenticated user to move or access files belonging to other users on the same device.
CVE-2026-7635
The coreActivity: Activity Logging for WordPress plugin for WordPress is vulnerable to PHP Object Injection in all versi
22:51 KSA
The coreActivity: Activity Logging for WordPress plugin for WordPress is vulnerable to PHP Object Injection in all versions up to, and including, 3.0. This is due to the plugin failing to validate or strip PHP serialization syntax from the User-Agent HTTP header before storing it…
تؤثر هذه الثغرة على أنظمة F5 BIG-IP TMOS حيث يمكن لمسؤول مصرح بتنفيذ أوامر نظام عشوائية بامتيازات أعلى من خلال أمر tmsh غير معروف. في بيئات وضع الجهاز، قد يسمح الاستغلال الناجح بتجاوز حدود الأمان والوصول إلى موارد محمية.
CVE-2020-37223
IObit Uninstaller 9.5.0.15 contains an unquoted service path vulnerability in the IObitUnSvr service that allows local a
22:51 KSA
IObit Uninstaller 9.5.0.15 contains an unquoted service path vulnerability in the IObitUnSvr service that allows local attackers to escalate privileges to SYSTEM level. Attackers can place a malicious executable named IObit.exe in the C:\Program Files (x86)\IObit directory and re…
CVE-2021-47945
Argus Surveillance DVR 4.0 contains an unquoted service path vulnerability in the DVRWatchdog service that allows local
23:45 KSA
Argus Surveillance DVR 4.0 contains an unquoted service path vulnerability in the DVRWatchdog service that allows local attackers to escalate privileges by exploiting the service binary path. Attackers can place a malicious executable in the Program Files directory to be executed…
CVE-2026-21020
Improper export of android application components in OmaCP prior to SMR May-2026 Release 1 allows local attackers to tri
22:51 KSA
Improper export of android application components in OmaCP prior to SMR May-2026 Release 1 allows local attackers to trigger privileged functions.
تحتوي أداة pbts في protobufjs-cli على ثغرة حقن أوامر حيث يتم بناء سلسلة أوامر shell من مسارات الملفات المدخلة وتنفيذها مباشرة دون تنظيف مناسب. يمكن للمهاجمين استخدام أحرف shell خاصة مثل النقاط والفواصل المنقوطة والأنابيب لتنفيذ أوامر تعسفية على النظام.
CVE-2026-43120
In the Linux kernel, the following vulnerability has been resolved:
RDMA/irdma: Fix double free related to rereg_user_m
04:55 KSA
In the Linux kernel, the following vulnerability has been resolved:
RDMA/irdma: Fix double free related to rereg_user_mr
If IB_MR_REREG_TRANS is set during rereg_user_mr, the
umem will be released and a new one will be allocated
in irdma_rereg_mr_trans. If any step of irdma_rer…
CVE-2026-43138
In the Linux kernel, the following vulnerability has been resolved:
reset: gpio: suppress bind attributes in sysfs
Thi
04:55 KSA
In the Linux kernel, the following vulnerability has been resolved:
reset: gpio: suppress bind attributes in sysfs
This is a special device that's created dynamically and is supposed to
stay in memory forever. We also currently don't have a devlink between
it and the actual res…
CVE-2026-43178
In the Linux kernel, the following vulnerability has been resolved:
procfs: fix possible double mmput() in do_procmap_q
02:51 KSA
In the Linux kernel, the following vulnerability has been resolved:
procfs: fix possible double mmput() in do_procmap_query()
When user provides incorrectly sized buffer for build ID for PROCMAP_QUERY
we return with -ENAMETOOLONG error. After recent changes this condition
happ…
CVE-2026-43250
In the Linux kernel, the following vulnerability has been resolved:
usb: chipidea: udc: fix DMA and SG cleanup in _ep_n
02:51 KSA
In the Linux kernel, the following vulnerability has been resolved:
usb: chipidea: udc: fix DMA and SG cleanup in _ep_nuke()
The ChipIdea UDC driver can encounter "not page aligned sg buffer"
errors when a USB device is reconnected after being disconnected
during an active tran…
CVE-2026-44113
OpenClaw before 2026.4.22 contains a time-of-check/time-of-use race condition in the OpenShell filesystem bridge that al
02:18 KSA
OpenClaw before 2026.4.22 contains a time-of-check/time-of-use race condition in the OpenShell filesystem bridge that allows attackers to read files outside the intended mount root. Attackers can exploit symlink swaps during filesystem operations to bypass sandbox restrictions an…
ثغرة اجتياز الدليل في مكون Joomla com_fabrik 3.9.11 تسمح للمهاجمين غير المصرحين بتعداد الملفات التعسفية في أنظمة الملفات. يمكن استغلال الثغرة من خلال إرسال طلبات GET إلى طريقة onAjax_files مع تسلسلات اجتياز المسار. قد يؤدي هذا إلى الكشف عن معلومات حساسة وملفات نظام خارج جذر الويب…
تحتوي أجهزة توجيه Huawei HG630 V2 على ثغرة حرجة في المصادقة حيث يمكن لأي مهاجم الوصول إلى نقطة نهاية API عامة لاستخراج رقم سلسلة الجهاز. باستخدام آخر 8 أحرف من رقم السلسلة كلمة مرور افتراضية، يمكن للمهاجم الحصول على وصول إداري كامل للجهاز. هذا يسمح بالتحكم الكامل بالشبكة والوصول …
CVE-2021-47944
memono Notepad 4.2 contains a denial of service vulnerability that allows attackers to crash the application by pasting
23:45 KSA
memono Notepad 4.2 contains a denial of service vulnerability that allows attackers to crash the application by pasting excessively long character buffers into note fields. Attackers can generate a payload containing 350000 repeated characters and paste it twice into a new note t…
CVE-2026-33811
When using LookupCNAME with the cgo DNS resolver, a very long CNAME response can trigger a double-free of C memory and a
02:51 KSA
When using LookupCNAME with the cgo DNS resolver, a very long CNAME response can trigger a double-free of C memory and a crash.
CVE-2026-33814
When processing HTTP/2 SETTINGS frames, transport will enter an infinite loop of writing CONTINUATION frames if it recei
22:26 KSA
When processing HTTP/2 SETTINGS frames, transport will enter an infinite loop of writing CONTINUATION frames if it receives a SETTINGS_MAX_FRAME_SIZE with a value of 0.
CVE-2026-38361
An issue in fohrloop dash-uploader v.0.1.0 through v.0.7.0a2 allows a remote attacker to execute arbitrary code via the
04:55 KSA
An issue in fohrloop dash-uploader v.0.1.0 through v.0.7.0a2 allows a remote attacker to execute arbitrary code via the dash_uploader/httprequesthandler.py, dash_uploader/upload.py in the Upload function and max_file_size parameter, dash_uploader/configure_upload.py components
CVE-2026-39455
When the BIG-IP Configuration utility is configured to use Lightweight Directory Access Protocol (LDAP) authentication,
22:51 KSA
When the BIG-IP Configuration utility is configured to use Lightweight Directory Access Protocol (LDAP) authentication, undisclosed traffic can cause the httpd process to exhaust the available file descriptors. Note: Software versions which have reached End of Technical Support …
CVE-2026-39458
When a BIG-IP DNS profile enabled with DNS cache is configured on a virtual server, undisclosed traffic can cause the Tr
22:51 KSA
When a BIG-IP DNS profile enabled with DNS cache is configured on a virtual server, undisclosed traffic can cause the Traffic Management Microkernel (TMM) to terminate. Note: Software versions which have reached End of Technical Support (EoTS) are not evaluated.
CVE-2026-39820
Well-crafted inputs reaching ParseAddress, ParseAddressList, and ParseDate were able to trigger excessive CPU exhaustion
22:26 KSA
Well-crafted inputs reaching ParseAddress, ParseAddressList, and ParseDate were able to trigger excessive CPU exhaustion and memory allocations.
CVE-2026-39836
The Dial and LookupPort functions panic on Windows when provided with an input containing a NUL (0).
22:26 KSA
The Dial and LookupPort functions panic on Windows when provided with an input containing a NUL (0).
تؤثر هذه الثغرة على أنظمة F5 BIG-IP المزودة بسياسات Advanced WAF أو ASM الأمنية المكونة على الخوادم الافتراضية. يمكن لطلبات محددة غير مكشوفة أن تسبب توقف عملية bd، مما يؤدي إلى انقطاع الخدمة. هذا يشكل خطراً على توفر الخدمات الحرجة التي تعتمد على هذه الأنظمة.
يؤثر هذا الضعف على F5 BIG-IP APM عندما يتم تكوين سياسة الوصول على خادم افتراضي. حركة المرور غير المحددة يمكن أن تسبب توقف عملية apmd، مما يؤدي إلى انقطاع الخدمة. لا يتم تقييم الإصدارات التي وصلت إلى نهاية الدعم الفني.
CVE-2026-40423
When a SIP profile is configured on a virtual server, undisclosed traffic can cause the Traffic Management Microkernel (
22:51 KSA
When a SIP profile is configured on a virtual server, undisclosed traffic can cause the Traffic Management Microkernel (TMM) to terminate.
Note: Software versions which have reached End of Technical Support (EoTS) are not evaluated.
CVE-2026-40618
When an SSL profile is configured on a virtual server on BIG-IP Virtual Edition (VE) without Intel QuickAssist Technolog
22:51 KSA
When an SSL profile is configured on a virtual server on BIG-IP Virtual Edition (VE) without Intel QuickAssist Technology (QAT) or on BIG-IP hardware platforms with the database variable crypto.hwacceleration set to disabled, undisclosed traffic can cause the Traffic Management M…
CVE-2026-40629
When SSL profiles are configured on a virtual server, undisclosed traffic can cause the virtual server to stop processin
22:51 KSA
When SSL profiles are configured on a virtual server, undisclosed traffic can cause the virtual server to stop processing new client connections. Note: Software versions which have reached End of Technical Support (EoTS) are not evaluated.
تؤثر هذه الثغرة على أنظمة F5 BIG-IP المزودة بـ PEM iRules التي تستخدم أوامر CLASSIFICATION و CLASSIFY و PEM و PSC و urlcatquery. يمكن لأنماط المرور غير المكشوفة أن تسبب إنهاء Traffic Management Microkernel مما يؤدي إلى انقطاع الخدمة. التأثير الرئيسي هو فقدان توفر خدمات إدارة المر…
CVE-2026-41227
ثغرة استنزاف الذاكرة في حماية F5 BIG-IP من هجمات الحرمان من الخدمة على HTTP/2
22:51 KSA
تؤثر هذه الثغرة على خوادم HTTP/2 الافتراضية في F5 BIG-IP عند تفعيل حماية الطبقة 7 من هجمات الحرمان من الخدمة. يمكن لحركة مرور غير محددة أن تسبب استهلاكًا مفرطًا للذاكرة مما يؤدي إلى توقف عملية Traffic Management Microkernel.
CVE-2026-41493
YARD is a Ruby Documentation tool. Prior to version 0.9.42, a path traversal vulnerability was discovered in YARD when u
02:51 KSA
YARD is a Ruby Documentation tool. Prior to version 0.9.42, a path traversal vulnerability was discovered in YARD when using yard server to serve documentation. This bug would allow unsanitized HTTP requests to access arbitrary files on the machine of a yard server host under cer…
CVE-2026-41584
ZEBRA is a Zcash node written entirely in Rust. Prior to zebrad version 4.3.1 and prior to zebra-chain version 6.0.2, Or
02:51 KSA
ZEBRA is a Zcash node written entirely in Rust. Prior to zebrad version 4.3.1 and prior to zebra-chain version 6.0.2, Orchard transactions contain a rk field which is a randomized validating key and also an elliptic curve point. The Zcash specification allows the field to be the …
CVE-2026-41640
NocoBase is an AI-powered no-code/low-code platform for building business applications and enterprise solutions. Prior t
02:51 KSA
NocoBase is an AI-powered no-code/low-code platform for building business applications and enterprise solutions. Prior to version 2.0.39, the queryParentSQL() function in the core database package constructs a recursive CTE query by joining nodeIds with string concatenation inste…
تؤثر هذه الثغرة على أنظمة F5 BIG-IP التي تحتوي على ملفات تصنيف مفعلة على خوادم UDP الافتراضية. يمكن للمهاجمين غير المصرح لهم إرسال طلبات خاصة لإيقاف خدمة Traffic Management Microkernel. هذا يؤدي إلى رفض الخدمة وتعطل البنية التحتية للشبكة.
CVE-2026-42409
When an HTTP/2 profile and an iRule containing the HTTP::redirect or HTTP::respond command are configured on a virtual s
22:51 KSA
When an HTTP/2 profile and an iRule containing the HTTP::redirect or HTTP::respond command are configured on a virtual server, undisclosed requests can cause the Traffic Management Microkernel (TMM) process to terminate. Note: Software versions which have reached End of Technica…
يسمح الضعف في معالج وكيل HTTP بحقن رؤوس HTTP تعسفية من خلال تعطيل التحقق من الصحة في طلبات CONNECT. يمكن للمهاجمين الذين يمكنهم التأثير على رؤوس الخروج استغلال هذا لتعديل طلبات الوكيل وتجاوز الضوابط الأمنية.
تؤثر هذه الثغرة على أنظمة F5 BIG-IP عند تكوين ملفات تعريف SSL للعميل مع تفعيل تحجيم السجل الديناميكي على خوادم UDP الافتراضية. يمكن لحركة مرور معينة غير مكشوفة أن تسبب توقف نواة إدارة حركة المرور مما يؤدي إلى انقطاع الخدمة.
CVE-2026-44340
PraisonAI is a multi-agent teams system. Prior to version 4.6.37, the _safe_extractall helper that all recipe pull, reci
02:51 KSA
PraisonAI is a multi-agent teams system. Prior to version 4.6.37, the _safe_extractall helper that all recipe pull, recipe publish, and recipe unpack flows route through validates each archive member's name for absolute paths, .. segments, and resolved-path escape — but does not …
CVE-2026-44432
urllib3 is an HTTP client library for Python. From 2.6.0 to before 2.7.0, urllib3 could decompress the whole response in
22:51 KSA
urllib3 is an HTTP client library for Python. From 2.6.0 to before 2.7.0, urllib3 could decompress the whole response instead of the requested portion (1) during the second HTTPResponse.read(amt=N) call when the response was decompressed using the official Brotli library or (2) w…
ثغرة في مدقق الكتل في ZEBRA تؤدي إلى عد ناقص لعمليات التوقيع الشفافة مقابل حد MAX_BLOCK_SIGOPS البالغ 20000. يمكن للمُعدِّنين استغلال هذا لإنشاء كتل تقسم الشبكة بين عقد ZEBRA وعقد zcashd، مما يسبب انقسام إجماع خطير.
CVE-2026-4798
The Avada Builder plugin for WordPress is vulnerable to time-based SQL Injection via the ‘product_order’ parameter in al
22:51 KSA
The Avada Builder plugin for WordPress is vulnerable to time-based SQL Injection via the ‘product_order’ parameter in all versions up to, and including, 3.15.1 due to insufficient escaping on the user supplied parameter and lack of sufficient preparation on the existing SQL query…
CVE-2026-6276
تسرب ملفات تعريف الارتباط في libcurl عبر رأس Host القديم في مقبض معاد الاستخدام
22:51 KSA
يحدث هذا الضعف عندما يتم إعادة استخدام مقبض libcurl الذي تم تعيين رأس Host مخصص له دون إعادة تعيينه للطلب الثاني، مما يؤدي إلى تمرير ملفات تعريف الارتباط المخصصة للمضيف الأول إلى المضيف الثاني. يؤثر هذا على التطبيقات التي تقوم بطلبات HTTP متعددة باستخدام نفس كائن الاتصال.
تحتوي libcurl على خطأ منطقي في كود إعادة استخدام الاتصال يسمح بإعادة استخدام اتصال SMB موجود لمشاركة مختلفة عن المقصودة. قد يؤدي هذا إلى تنزيل أو تحميل الملفات إلى الموقع الخاطئ مع استخدام نفس بيانات الاعتماد واسم الخادم.
يحتوي مكون JoomSport الشهير لإدارة الفرق والدوريات الرياضية على ثغرة حقن SQL عمياء قائمة على الوقت في معامل 'sortf' بسبب عدم كفاية التحقق من صحة المدخلات. يمكن للمهاجمين غير المصرحين استغلال هذه الثغرة لاستخراج بيانات حساسة من قاعدة البيانات دون الحاجة إلى بيانات اعتماد.
تحتوي إصدارات PHP 8.2 و8.3 و8.4 و8.5 على ثغرة في معالجة الأحرف الموقعة حيث تمرر دوال مثل urldecode() قيماً موقعة إلى دوال ctype. على الأنظمة التي تستخدم جداول بحث محسّنة مثل NetBSD، يمكن أن يؤدي هذا إلى الوصول إلى المصفوفات برموز سالبة. يمكن للمهاجمين استغلال هذا لتنفيذ هجمات حرم…
تحتوي ثغرة CVE-2026-7262 على خطأ في عملية فك تشفير خريطة النوع (typemap) في خادم SOAP حيث يتم التحقق من متغير خاطئ عند غياب عنصر القيمة. يؤدي هذا إلى إلغاء مؤشر NULL وحدوث خطأ تجزئة يسبب توقف عملية خادم PHP.
يؤثر هذا الثغرة على معالج XML في PHP حيث تؤدي طريقة C14N() إلى إنشاء هياكل بيانات بحلقات دائرية عند معالجة مستندات XML معينة. يؤدي هذا إلى دخول التطبيق في حلقات لا نهائية مما يسبب توقف الخدمة وعدم توفر التطبيق. الهجوم يتطلب إرسال مستند XML معيب مما يجعله متجهاً نحو التطبيقات التي…
ثغرة تجاوز عدد صحيح موقّع في دالة metaphone() بـ PHP تحدث عند معالجة سلاسل نصية تتجاوز 2.1 مليار بايت. يمكن للمهاجمين استغلال هذه الثغرة لإحداث انهيار العملية وتعطيل الخدمة.
يفشل CKAN في التحقق من صحة شهادات خادم SMTP قبل الإصدار 2.10.10 و 2.11.5، مما يسمح بهجمات الوسيط. يمكن للمهاجمين اعتراض بيانات اعتماد SMTP وجميع رسائل البريد الإلكتروني المرسلة. يتم إصلاح هذا الضعف في الإصدارات المحدثة.
تحتوي منصة Kuicms PHP EE الإصدار 2.0 على ثغرة حقن نصوص برمجية عابرة للمواقع (XSS) دائمة في وحدة المنتدى (BBS). يمكن لأي مهاجم غير مصرح بالوصول إرسال طلبات POST تحتوي على كود JavaScript ضار عبر معامل المحتوى في نقطة النهاية /web/?c=bbs&a=reply. ستؤدي هذه الثغرة إلى تنفيذ الكود الض…
CVE-2025-67486
Dolibarr is an enterprise resource planning (ERP) and customer relationship management (CRM) software package. Versions
04:55 KSA
Dolibarr is an enterprise resource planning (ERP) and customer relationship management (CRM) software package. Versions 22.0.2 and earlier contains an authenticated remote code execution vulnerability in the user extrafields functionality. User-controlled input from the "computed…
تسمح هذه الثغرة لمهاجم مصرح بدور المدير على الأقل بإنشاء كائنات تكوين خاصة في F5 BIG-IP تؤدي إلى تنفيذ أوامر عشوائية على النظام. تؤثر الثغرة على واجهة iControl REST وقشرة TMOS، وهما مكونات حرجة في إدارة أنظمة التوازن والأمان.
ثغرة TOCTOU في Spring Cloud Config Server تؤثر على المجلد الأساسي المستخدم لاستنساخ مستودعات Git، مما قد يسمح للمهاجمين بالتلاعب بملفات التكوين أثناء نافذة زمنية حرجة. تؤثر الثغرة على إصدارات متعددة من الإصدار 3.1.0 إلى 5.0.2.
تحتوي ثغرة التحكم في الوصول هذه على عدم كفاية الفحوصات التفويضية في وظيفة إعادة تعيين مفتاح المصادقة في منصة MISP. يمكن لمسؤول المنظمة المصرح له الوصول إلى مفاتيح المصادقة الخاصة بحسابات مسؤولي الموقع وإعادة تعيينها، مما يؤدي إلى تصعيد الامتيازات والوصول غير المصرح به.
CVE-2026-6177
ثغرة XSS المخزنة في إضافة Custom Twitter Feeds عبر بيانات التغريدات المخزنة مؤقتاً غير المحمية
22:51 KSA
تحتوي إضافة Custom Twitter Feeds للإصدارات حتى 2.5.4 على ثغرة XSS مخزنة في دالة CTF_Display_Elements::get_post_text() حيث يتم إخراج بيانات التغريدات المخزنة مؤقتاً دون تحمية HTML مناسبة. يمكن للمهاجمين غير المصرحين حقن محتوى ضار يتم تنفيذه عند وصول المستخدمين إلى نقطة النهاية الم…
CVE-2020-37224
Joomla J2 JOBS 1.3.0 contains an authenticated SQL injection vulnerability that allows authenticated attackers to manipu
22:51 KSA
Joomla J2 JOBS 1.3.0 contains an authenticated SQL injection vulnerability that allows authenticated attackers to manipulate database queries by injecting SQL code through the 'sortby' parameter. Attackers can send POST requests to the administrator index with malicious 'sortby' …
CVE-2020-37226
Joomla J2 JOBS 1.3.0 contains an authenticated SQL injection vulnerability that allows authenticated attackers to manipu
22:51 KSA
Joomla J2 JOBS 1.3.0 contains an authenticated SQL injection vulnerability that allows authenticated attackers to manipulate database queries by injecting SQL code through the 'sortby' parameter. Attackers can send POST requests to the administrator index with malicious 'sortby' …
ثغرة في إضافة ProfileGrid الشهيرة لـ WordPress تسمح للمستخدمين المصرح لهم بالوصول غير المصرح به إلى المجموعات المقيدة والمدفوعة. الدالة pm_invite_user لا تتحقق من صلاحيات المستخدم بشكل صحيح، مما يسمح بتجاوز بوابات الدفع والتفويض.
CVE-2025-40948
ثغرة قراءة الملفات العشوائية في التحقق من الإدخال JSON-RPC في RUGGEDCOM ROX
16:47 KSA
تحتوي أجهزة RUGGEDCOM ROX على ثغرة في التحقق من صحة الإدخال في واجهة JSON-RPC للويب تسمح للمستخدمين المصرحين بقراءة ملفات عشوائية من نظام الملفات بامتيازات الجذر. تؤثر هذه الثغرة على عدة طرز من أجهزة التوجيه الصناعية المستخدمة في البنية التحتية الحرجة والشبكات الصناعية.
CVE-2026-21021
Improper input validation in Routines prior to SMR May-2026 Release 1 allows physical attackers to launch privileged act
06:19 KSA
Improper input validation in Routines prior to SMR May-2026 Release 1 allows physical attackers to launch privileged activity.
CVE-2026-24464
When running in Appliance mode, a directory traversal vulnerability exists in an undisclosed iControl REST endpoint that
14:19 KSA
When running in Appliance mode, a directory traversal vulnerability exists in an undisclosed iControl REST endpoint that may allow an authenticated attacker with administrator role privileges to cross a security boundary and delete files. Note: Software versions which have reach…
CVE-2026-21018
Out-of-bounds write in SveService prior to SMR May-2026 Release 1 allows local privileged attackers to execute arbitrary
06:19 KSA
Out-of-bounds write in SveService prior to SMR May-2026 Release 1 allows local privileged attackers to execute arbitrary code.
ثغرة تحرير مزدوج في مكون Rich Text Edit في Windows تسمح لمهاجم مصرح محليًا بتنفيذ كود عشوائي برفع امتيازات. تؤثر الثغرة على التطبيقات التي تستخدم مكتبة RichEdit لمعالجة النصوص المنسقة.
CVE-2026-32170
ثغرة تحرير الذاكرة المزدوج في عنصر تحكم Windows Rich Text Edit لرفع الامتيازات
16:47 KSA
ثغرة تحرير الذاكرة المزدوج في عنصر تحكم Rich Text Edit بنظام Windows تسمح للمستخدمين المصرحين بتنفيذ كود عشوائي برفع امتيازاتهم. تؤثر الثغرة على أنظمة Windows وتتطلب وصول محلي مسبق للاستغلال.
تؤثر هذه الثغرة على مكون في Windows Secure Boot غير قابل للتحديث، مما يسمح للمهاجمين المصرحين بتجاوز ميزات الأمان المهمة. يتطلب الاستغلال وصولاً محلياً للنظام ويمكن أن يؤدي إلى تعطيل آليات الحماية الأساسية.
تؤثر هذه الثغرة على أنظمة F5 BIG-IP وتسمح لمسؤول مصرح بتصعيد امتيازاته وتجاوز حدود الأمان. الاستغلال يتطلب وصول إداري موجود مسبقاً ويمكن أن يؤدي إلى وصول غير مصرح به إلى موارد حساسة.
CVE-2026-32120
OpenEMR is a free and open source electronic health records and medical practice management application. Prior to versio
11:08 KSA
OpenEMR is a free and open source electronic health records and medical practice management application. Prior to version 8.0.0.3, an Insecure Direct Object Reference (IDOR) vulnerability in the fee sheet product save logic (`library/FeeSheet.class.php`) allows any authenticated …
CVE-2026-32603
Sandboxie is an open source sandbox-based isolation software for Windows. In versions 1.17.2 and earlier, a local denial
04:18 KSA
Sandboxie is an open source sandbox-based isolation software for Windows. In versions 1.17.2 and earlier, a local denial of service vulnerability exists in the Sandboxie kernel driver. An unprivileged process running inside a Standard Sandbox can send a malformed IOCTL to the \De…
CVE-2026-32976
OpenClaw before 2026.3.11 contains an authorization bypass vulnerability allowing channel commands to mutate protected s
09:57 KSA
OpenClaw before 2026.3.11 contains an authorization bypass vulnerability allowing channel commands to mutate protected sibling-account configuration despite configWrites restrictions. Attackers with authorized access on one account can execute channel commands like /config set ch…
CVE-2026-33027
Nginx UI is a web user interface for the Nginx web server. Prior to version 2.3.4, the nginx-ui configuration improperly
09:57 KSA
Nginx UI is a web user interface for the Nginx web server. Prior to version 2.3.4, the nginx-ui configuration improperly handles URL-encoded traversal sequences. When specially crafted paths are supplied, the backend resolves them to the base Nginx configuration directory and exe…
CVE-2026-3309
The Paid Membership Plugin, Ecommerce, User Registration Form, Login Form, User Profile & Restrict Content – ProfilePres
01:31 KSA
The Paid Membership Plugin, Ecommerce, User Registration Form, Login Form, User Profile & Restrict Content – ProfilePress plugin for WordPress is vulnerable to arbitrary shortcode execution in all versions up to, and including, 4.16.11. This is due to the plugin allowing user-sup…
CVE-2026-3340
IBM Langflow Desktop 1.0.0 through 1.8.4 IBM Langflow is vulnerable to server-side request forgery (SSRF). This may allo
04:54 KSA
IBM Langflow Desktop 1.0.0 through 1.8.4 IBM Langflow is vulnerable to server-side request forgery (SSRF). This may allow an authenticated attacker to send unauthorized requests from the system, potentially leading to network enumeration or facilitating other attacks.
CVE-2026-34303
Vulnerability in the MySQL Server product of Oracle MySQL (component: Server: Optimizer). Supported versions that are a
04:54 KSA
Vulnerability in the MySQL Server product of Oracle MySQL (component: Server: Optimizer). Supported versions that are affected are 8.0.0-8.0.45, 8.4.0-8.4.8 and 9.0.0-9.6.0. Easily exploitable vulnerability allows low privileged attacker with network access via multiple protoco…
تؤثر هذه الثغرة على مكون المشاريع في منتج تكاليف المشاريع المالية من Oracle PeopleSoft الإصدار 9.2. يمكن لمهاجم بامتيازات منخفضة استغلال هذه الثغرة عبر الشبكة للوصول غير المصرح به إلى البيانات المالية والمشاريع الحساسة. التأثير الأساسي هو الكشف عن البيانات السرية دون تأثر السلامة…
تؤثر هذه الثغرة على مكون معالجة JSON في خادم MySQL وتسمح لمستخدم بامتيازات منخفضة بتنفيذ عمليات استعلام JSON محددة تسبب توقف الخادم أو تعطله بشكل متكرر. يتطلب الهجوم الوصول إلى الشبكة والمصادقة على قاعدة البيانات، مما يجعله تهديداً متوسط المستوى للمنظمات التي تستخدم MySQL.
تسمح هذه الثغرة للمهاجمين ذوي الامتيازات المنخفضة بالوصول إلى البيانات المالية الحساسة في بنية تطبيقات Oracle للخدمات المالية التحليلية. يمكن استغلال الثغرة بسهولة عبر الشبكة دون تفاعل المستخدم، مما يؤدي إلى الكشف الكامل عن البيانات المالية والمعلومات الحساسة.
تؤثر هذه الثغرة على خادم Oracle WebLogic Server في مكون خدمات الويب وتسمح لمهاجم بدون مصادقة بالوصول عبر الشبكة لتعديل أو حذف البيانات الحرجة. تتطلب الهجمات الناجحة تفاعلاً من المستخدم وتؤثر على سلامة البيانات بدرجة عالية. يؤثر هذا على جميع إصدارات WebLogic المدعومة المذكورة.
ثغرة في Oracle Life Sciences InForm تسمح للمهاجمين غير المصرحين بالوصول إلى البيانات الحساسة عبر HTTP دون الحاجة للمصادقة. يمكن للمهاجمين قراءة وتعديل وحذف البيانات المتاحة في التطبيق مما يؤثر على سرية وسلامة البيانات.
تؤثر هذه الثغرة على برنامج تشغيل Windows Storport Miniport وتسمح بهجمات إنكار الخدمة عن بعد. يمكن للمهاجمين استغلال إلغاء المؤشر الفارغ لتعطيل خدمات التخزين. تشكل الثغرة تهديداً لتوفر الأنظمة والخدمات المعتمدة على التخزين.
يطبق OpenClaw قبل الإصدار 2026.3.12 حدود معدل الطلبات فقط بعد المصادقة الناجحة على webhook، مما يسمح للمهاجمين بتجاوز هذه الحماية. يمكن للمهاجمين تقديم طلبات مصادقة متكررة برموز سرية غير صحيحة دون تفعيل استجابات حد المعدل، مما يتيح التخمين المنهجي للأسرار وإرسال webhook مزيفة لاح…
ثغرة Insecure Direct Object Reference (IDOR) في مكون GenerateBlocks لـ WordPress تسمح للمستخدمين المصرحين بمستوى المساهم وما فوق بالوصول إلى بيانات حساسة من أي منشور دون التحقق من الأذونات. يمكن للمهاجمين استخراج بيانات وصفية للمنشورات وعناوين بريد المؤلفين والمعلومات المحمية الأ…
CVE-2026-35062
An authenticated iControl SOAP user may be able to obtain information of other accounts.
Note: Software versions which
14:19 KSA
An authenticated iControl SOAP user may be able to obtain information of other accounts.
Note: Software versions which have reached End of Technical Support (EoTS) are not evaluated.
CVE-2026-35192
سرقة جلسات Django عبر رؤوس ذاكرة التخزين المؤقت غير المتغيرة مع SESSION_SAVE_EVERY_REQUEST
20:54 KSA
تحتوي إصدارات Django 6.0 قبل 6.0.5 و 5.2 قبل 5.2.14 على ثغرة في معالجة رؤوس الاستجابة حيث لا تتغير رؤوس التخزين المؤقت بناءً على ملفات تعريف الارتباط عند تفعيل SESSION_SAVE_EVERY_REQUEST. يمكن للمهاجمين استغلال هذا لسرقة جلسات المستخدمين من خلال الوصول إلى نسخ مخزنة مؤقتاً من الص…
ثغرة تجاوز المصادقة في Windows TCP/IP تسمح لمهاجمين مصرحين بالفعل بتجاوز ميزات الأمان عبر قنوات شبكية بديلة. تتطلب الثغرة وصولاً شبكياً موجوداً ويمكن أن تؤدي إلى وصول غير مصرح إلى الموارد المحمية.
يعاني OpenClaw من ثغرة في آلية التحقق من توقيع Plivo V2 حيث يتم اشتقاق مفاتيح إعادة التشغيل من عنوان URL الكامل بما في ذلك سلاسل الاستعلام بدلاً من عنوان URL الأساسي المعياري. يمكن للمهاجمين تعديل معاملات الاستعلام غير الموقعة للحصول على طلبات موثوقة جديدة دون تغيير التوقيع الأصل…
تفشل ثغرة تصعيد الامتيازات في OpenClaw في إعادة التحقق من نطاقات عميل البوابة عند معالجة أوامر /allowlist الداخلية. يمكن للمهاجمين الذين يملكون نطاق operator.write استخدام أمر chat.send لبناء سياق مصرح به داخلياً وتعديل سياسات التفويض في القنوات بشكل دائم. هذا يسمح بتجاوز قيود op…
يعالج OpenClaw العمليات التشفيرية وعمليات الإرسال على رسائل Nostr المباشرة الواردة قبل فرض التحقق من سياسة المرسل والاقتران. يمكن للمهاجمين إطلاق حسابات حسابية غير مصرح بها قبل المصادقة بإرسال رسائل DM مصنعة، مما يؤدي إلى حرمان الخدمة من خلال استنزاف الموارد.
يفشل OpenClaw في فرض نطاق operator.admin على أوامر ACP الداخلية المتحورة، مما يسمح للمستخدمين غير المصرح لهم بتنفيذ إجراءات تحكم مستوى الطائرة. يمكن للمهاجمين استدعاء أوامر ACP المتأثرة مباشرة لتجاوز بوابات التفويض والقيام بتعديلات غير مصرح بها.
تؤثر هذه الثغرة على OpenClaw حيث يمكن للجلسات الفرعية المحصورة استغلال آلية حل sessionId لتجاوز قيود الرؤية المفروضة. المشكلة تكمن في أن فحص الرؤية يتم بعد تحويل معرف الجلسة إلى مفاتيح قانونية، مما يسمح بالوصول غير المصرح به.
CVE-2026-35644
كشف المعلومات في OpenClaw عبر بيانات الاعتماد المدمجة في عناوين URL القنوات
12:36 KSA
تؤثر هذه الثغرة على OpenClaw قبل الإصدار 2026.3.22 وتسمح للمهاجمين الذين لديهم صلاحيات operator.read بالوصول إلى بيانات الاعتماد المدمجة في حقول baseUrl و httpUrl للقنوات. يمكن استخراج معلومات المصادقة الحساسة من خلال الوصول إلى لقطات البوابة عبر نقاط نهاية API المختلفة.
تحتوي ثغرة المصالحة على معالجة معيبة للقوائم الفارغة حيث يتم التعامل مع قوائم السماح الفارغة الصريحة كإعدادات غير محددة. يؤدي هذا إلى إلغاء صامت لسياسات الحظر المقصودة واستعادة الأذونات المسحوبة مسبقاً دون تنبيه.
تسمح هذه الثغرة للمهاجمين بتجاوز فحوصات التفويض من خلال استغلال مشاكل التوقيت في معالجة رد الاتصال التفاعلي. يمكن للمرسلين غير المصرح لهم تنفيذ معالجات الإجراءات المقيدة قبل اكتمال التحقق الأمني العادي.
تحتوي هذه الثغرة على خطأ في معالجة رأس X-Forwarded-For في OpenClaw عند تفعيل خاصية trustedProxies، مما يسمح للمهاجمين بحقن رؤوس مزيفة. يمكن للمهاجمين استخدام هذه الثغرة لتجاوز آليات المصادقة والحد من معدل الطلبات بانتحال صفة عملاء محليين موثوقين.
تحتوي ثغرة CWE-863 على فشل في التحقق من التفويض في مسار معين من OpenClaw يسمح بالوصول إلى بيانات سجل الجلسة الحساسة. يمكن للمهاجمين استغلال هذه الثغرة بسهولة عن طريق إرسال طلبات HTTP مباشرة دون الحاجة إلى بيانات اعتماد صحيحة.
تحتوي أداة الصور في OpenClaw على ثغرة تسمح بتجاوز قيود الحماية الرملية المخصصة لتقييد الوصول إلى مساحة العمل فقط. يمكن للمهاجمين استغلال هذه الثغرة للوصول إلى ملفات حساسة خارج منطقة العمل المحمية. هذا يشكل خطراً على سرية البيانات والملفات الحساسة المخزنة على الأنظمة المتأثرة.
CVE-2026-3571
ثغرة في إضافة Pie Register لـ WordPress تسمح بتعديل البيانات دون تحقق من الصلاحيات
21:14 KSA
تفتقر إضافة Pie Register لـ WordPress إلى التحقق من صلاحيات المستخدم في دالة pie_main()، مما يسمح للمهاجمين غير المصرح لهم بتغيير حالة نموذج التسجيل. تؤثر هذه الثغرة على جميع الإصدارات حتى 3.8.4.8 وقد تؤدي إلى تعطيل عمليات تسجيل المستخدمين.
تتعلق هذه الثغرة بقدرة المهاجم المصرح على تنفيذ أوامر نظام التشغيل بشكل خاص عبر خادم SAP NetWeaver ABAP. يسمح الاستغلال بتجاوز آليات التسجيل، مما يجعل الأنشطة الضارة غير قابلة للكشف. التأثير الرئيسي يقع على سلامة النظام والتوفر بدلاً من السرية.
CVE-2026-40300
Zulip is an open-source team collaboration tool. Prior to 12.0, With message_edit_history_visibility_policy set to "move
01:41 KSA
Zulip is an open-source team collaboration tool. Prior to 12.0, With message_edit_history_visibility_policy set to "moves", /api/v1/messages/{id}/history still returns historical content values, allowing low-privilege users to recover text that was edited away from other users' m…
تسمح هذه الثغرة للمهاجمين المصرحين بالوصول إلى معلومات حساسة في بيئة Power Automate من خلال استغلال عناصر تحكم الوصول الضعيفة. يمكن للمهاجم الوصول إلى بيانات المستخدمين والمعلومات السرية المخزنة في الاتصالات والمتغيرات والتدفقات.
تحتوي وحدة HTTP/3 QUIC في NGINX على ثغرة تسمح للمهاجمين بتزييف عنوان IP المصدر في الطلبات. يمكن استغلال هذه الثغرة لتجاوز آليات التفويض والمصادقة وأنظمة التحكم في معدل الطلبات. تؤثر الثغرة على كل من NGINX Plus والإصدارات المفتوحة المصدر.
CVE-2026-41219
An improper sanitization vulnerability exists in the BIG-IP QKView utility that allows a low-privileged attacker to read
14:19 KSA
An improper sanitization vulnerability exists in the BIG-IP QKView utility that allows a low-privileged attacker to read sensitive information from a QKView file.
Note: Software versions which have reached End of Technical Support (EoTS) are not evaluated
CVE-2026-41959
Incorrect permission assignment vulnerabilities exist in BIG-IP and BIG-IQ TMOS Shell (tmsh) network diagnostics command
14:19 KSA
Incorrect permission assignment vulnerabilities exist in BIG-IP and BIG-IQ TMOS Shell (tmsh) network diagnostics commands and in BIG-IP iControl REST. These vulnerabilities may allow an authenticated attacker to view the network status of destination systems.
Note: Software ver…
تؤثر هذه الثغرة على أجهزة F5 BIG-IP عند تفعيل تسريع Packet Velocity Acceleration (ePVA)، حيث يمكن لحركة الإيثرنت المحلية أن تسبب استنزافاً للموارد. يؤدي هذا إلى زيادة استخدام وحدة المعالجة المركزية والذاكرة في Traffic Management Microkernel (TMM)، مما قد يؤدي إلى تدهور الخدمة.
تتعلق هذه الثغرة بمشكلة في إسناد الأذونات (CWE-732) في أوامر arp و ndp في TMOS Shell وواجهة iControl REST. يمكن للمهاجمين المصرحين استغلال هذه الثغرة للوصول إلى معلومات الشبكة المجاورة التي لا يجب أن يكون لديهم إذن بعرضها.
تؤثر هذه الثغرة على وحدات ngx_http_scgi_module و ngx_http_uwsgi_module في NGINX عند تكوينها للاتصال بخوادم أعلى. يمكن لمهاجم يتحكم في استجابات الخادم الأعلى عبر هجوم MITM أن يسبب تخصيص ذاكرة مفرط أو قراءة بيانات غير محدودة. قد يؤدي هذا إلى الكشف عن محتويات الذاكرة الحساسة أو تعطل…
ثغرة اجتياز المسار في ERPNext تسمح للمستخدمين المصرحين بقراءة ملفات عشوائية خارج المجلد المقصود. تؤثر الثغرة على الإصدارات السابقة للإصدار 15.101.1 و16.10.0 وتتطلب وصول مصرح للاستغلال.
تؤثر هذه الثغرة على وحدة التبادل الإلكتروني للبيانات (EDI) في ERPNext وتسمح للمستخدمين المصرحين باستخراج ملفات حساسة من النظام. يمكن للمهاجمين قراءة ملفات التكوين وبيانات قاعدة البيانات والمفاتيح الخاصة من خلال معالجة كيانات XML الخارجية بشكل غير محدود.
ثغرة حقن SQL العمياء في مكون ProfileGrid تسمح للمهاجمين المصرحين بمستوى المشترك أو أعلى بإدراج استعلامات SQL إضافية. يمكن استغلال هذه الثغرة لاستخراج بيانات حساسة من قاعدة البيانات دون التحقق الكافي من المدخلات.
تحتوي إضافة Avada Builder لـ WordPress على ثغرة في وظيفة 'fusion_get_svg_from_file' تسمح لمستخدمي المشترك وما فوق بقراءة محتويات الملفات التعسفية على الخادم. يمكن استخدام هذه الثغرة للوصول إلى معلومات حساسة مثل ملفات التكوين وبيانات قاعدة البيانات. تم إصدار إصلاح كامل في الإصدار …
تحتوي libcurl على خطأ منطقي في إدارة مجموعة الاتصالات المعاد استخدامها يسمح بإعادة استخدام اتصال مصرح به بشكل خاطئ بين طلبات بيانات اعتماد مختلفة. عندما يقوم التطبيق بطلب مصرح به باستخدام Negotiate لمستخدم واحد ثم يقوم بعملية أخرى لنفس الخادم بمستخدم مختلف، قد يتم إرسال الطلب الث…
تحتوي هذه الثغرة على عدم تطابق بين قوائم الترميز في مكتبات Oniguruma و mbfl مما يؤدي إلى إلغاء مؤشر فارغ. يمكن استغلال الثغرة عندما يتمكن المهاجم من التحكم في مدخلات المستخدم التي تؤثر على معاملات الترميز المرسلة للدوال.
CVE-2026-7619
The Charitable – Donation Plugin for WordPress – Fundraising with Recurring Donations & More plugin for WordPress is vul
06:19 KSA
The Charitable – Donation Plugin for WordPress – Fundraising with Recurring Donations & More plugin for WordPress is vulnerable to generic SQL Injection via the 's' parameter in all versions up to, and including, 1.8.10.4 due to insufficient escaping on the user supplied paramete…
يتعلق هذا الضعف بقيود غير كافية على محاولات المصادقة المفرطة في واجهة إدارة الويب لأجهزة Zyxel WRE6505 v2. يمكن لمهاجم مجاور على الشبكة المحلية استغلال هذا الضعف لفرض كلمة المرور وتجاوز آليات المصادقة. يؤثر هذا على سرية وسلامة الأجهزة والشبكات المتصلة بها.
يحتوي مكون Eight Day Week Print Workflow للـ WordPress على ثغرة حقن SQL عمياء قائمة على الوقت في معامل العنوان ضمن إجراء AJAX pp-get-articles. يمكن للمهاجمين المصرح لهم على مستوى المشترك أو أعلى استخدام هذه الثغرة لاستخراج معلومات حساسة من قاعدة البيانات.
CVE-2026-7659
ثغرة XSS مخزنة في مكون Advanced Social Media Icons لـ WordPress عبر اختصار Social
16:47 KSA
يعاني مكون Advanced Social Media Icons لـ WordPress من ثغرة Stored XSS في اختصار social حيث لا يتم تنقية مدخلات المستخدم بشكل كافٍ. يمكن للمستخدمين المصرحين بمستوى المساهم وأعلى حقن برامج نصية ضارة تُنفذ عند وصول أي مستخدم إلى الصفحات المتأثرة.
ثغرة Stored Cross-Site Scripting في إضافة Next Date لـ WordPress تؤثر على جميع الإصدارات حتى 1.0 بسبب عدم كفاية تنظيف المدخلات والتحقق من المخرجات. يمكن للمهاجمين المصرحين بمستوى المساهم أو أعلى حقن نصوص برمجية ضارة في الصفحات.
تحتوي إضافة Bootstrap Shortcode لـ WordPress على ثغرة Stored XSS في اختصار box بسبب عدم كفاية تنظيف المدخلات والتحقق من المخرجات. يمكن للمهاجمين المصرحين بمستوى المساهم أو أعلى حقن نصوص برمجية ضارة تُنفذ عند وصول المستخدمين إلى الصفحات المصابة.
تحتوي إضافة SliceWP Affiliates للإصدارات حتى 1.2.7 على ثغرة XSS مخزنة في خصائص الرموز المختصرة بسبب عدم كفاية تنظيف المدخلات والتحقق من المخرجات. يمكن للمستخدمين المصرح لهم على مستوى المساهم أو أعلى حقن نصوص برمجية عشوائية تنفذ عند وصول المستخدمين إلى الصفحات المصابة.
CVE-2026-6725
ثغرة Stored XSS في مكون WPC Smart Messages لـ WooCommerce عبر اختصار Text Rotator
12:54 KSA
يحتوي مكون WPC Smart Messages for WooCommerce على ثغرة Stored XSS في اختصار wpcsm_text_rotator بسبب عدم كفاية تنقية المدخلات والتحقق من المخرجات. يمكن للمساهمين المصرحين بمستوى المساهم أو أعلى حقن برامج نصية ضارة تنفذ عند وصول المستخدمين للصفحات المتأثرة.
يحتوي مكون Social Post Embed للووردبريس على ثغرة XSS مخزنة في معالج Threads بسبب عدم كفاية تنقية المدخلات والمخرجات. يمكن للمستخدمين المصرح لهم على مستوى المساهم أو أعلى حقن نصوص برمجية ضارة تُنفذ عند وصول المستخدمين إلى الصفحات المصابة.
تحتوي إضافة Fluent Forms الشهيرة لـ WordPress على ثغرة Stored XSS في معامل 'permission_message' بسبب عدم كفاية تنظيف المدخلات والتحقق من المخرجات. يمكن للمستخدمين المصرح لهم على مستوى المساهم أو أعلى حقن برامج نصية ضارة تُنفذ عند وصول أي مستخدم للصفحة المصابة.
تحتوي إضافة Shortcodely لـ WordPress على ثغرة XSS مخزنة في معامل widget_area تؤثر على جميع الإصدارات حتى 1.0.1. يمكن للمهاجمين المصرح لهم على مستوى المساهم أو أعلى حقن برامج نصية ضارة تُنفذ عند زيارة الصفحات المتأثرة.
يؤثر هذا الضعف على مكون Jeg Kit for Elementor الشهير المستخدم في مواقع WordPress لإنشاء محتوى متقدم. يمكن لأي مستخدم لديه صلاحيات مساهم أو أعلى حقن كود JavaScript ضار سيتم تنفيذه في متصفحات جميع الزوار. الثغرة ناتجة عن عدم تطهير المدخلات بشكل كافٍ وعدم ترميز المخرجات بشكل صحيح.
ثغرة Stored XSS في إضافة LatePoint للووردبريس تسمح للمهاجمين المصرحين بمستوى العميل بحقن نصوص برمجية ضارة في حقول ملف العميل. تُخزن البيانات غير المعالجة في قاعدة البيانات وتُنفذ عند عرض معاينات الإشعارات من قبل المسؤولين.
تحتوي إضافة E2Pdf لـ WordPress على ثغرة Stored XSS في خاصية 'id' للاختصار e2pdf-download بسبب عدم تنظيف المدخلات بشكل كافٍ. يمكن للمستخدمين المصرحين برتبة مساهم أو أعلى حقن برامج نصية ضارة تُنفذ عند زيارة الصفحات المصابة من قبل مستخدمين آخرين.
يؤثر هذا الضعف على جميع إصدارات مكون Cost of Goods & Profit Calculator حتى الإصدار 4.1.0. يمكن للمهاجمين المصرح لهم بصلاحيات المساهم أو أعلى حقن برامج JavaScript ضارة عبر سمات shortcode معينة. تُنفذ البرامج النصية المحقونة في سياق متصفح أي مستخدم يزور الصفحة المصابة.
CVE-2026-7209
ثغرة Stored XSS في مكون Simple Link Directory لـ WordPress عبر اختصار qcopd-directory
11:32 KSA
تحتوي ثغرة Stored XSS على خطورة متوسطة وتؤثر على مكون Simple Link Directory الشهير في WordPress. تسمح الثغرة للمستخدمين المصرحين بمستوى المساهم أو أعلى بحقن برامج نصية ضارة عبر سمات مثل title_font_size في اختصار qcopd-directory.
تحتوي إضافة Sky Addons لـ WordPress على ثغرة حقن نصوص برمجية مخزنة في نوع المنشور المخصص sky-custom-scripts بسبب عدم تنظيف المدخلات بشكل كافٍ وعدم الهروب من المخرجات. يمكن للمستخدمين المصرح لهم على مستوى المؤلف أو أعلى حقن نصوص برمجية ضارة عبر REST API تعمل على جميع صفحات الواجهة…
CVE-2026-6255
ثغرة Stored XSS في إضافة Simple Owl Shortcodes لـ WordPress عبر owls_wrapper
10:36 KSA
تحتوي إضافة Simple Owl Shortcodes لـ WordPress على ثغرة Stored XSS في سمة 'num' للاختصار 'owls_wrapper' بسبب عدم كفاية تنظيف المدخلات والتحقق من المخرجات. يمكن للمستخدمين المصرحين برصيد المساهم وما فوق حقن نصوص برمجية ضارة تُنفذ عند وصول أي مستخدم إلى الصفحات المصابة.
تحتوي إضافة GreenShift لـ WordPress على ثغرة XSS مخزنة في الإصدارات حتى 12.8.9 بسبب عدم كفاية تنظيف المدخلات والترميز الآمن للمخرجات في دالة معالجة كتل الصور. يمكن للمستخدمين ذوي صلاحيات المساهم حقن كود JavaScript ضار من خلال سمات HTML مصنوعة بعناية.
ثيم Vantage لـ WordPress يفتقر إلى التحقق الكافي من مخرجات النصوص في قالب المعرض. يسمح هذا للمستخدمين المصرح لهم بمستوى المساهم وأعلى بحقن رموز JavaScript عشوائية في محتوى النص بكتلة المعرض. تُنفذ البرامج النصية المحقونة تلقائياً عند زيارة أي مستخدم للصفحة المتأثرة.
يحتوي مكون Royal Addons for Elementor على ثغرة Stored XSS في إعداد 'instagram_follow_text' بأداة Instagram Feed بسبب عدم كفاية تنظيف المدخلات والمخرجات. يمكن للمهاجمين المصرحين على مستوى المساهم أو أعلى حقن نصوص برمجية ضارة تُنفذ عند وصول المستخدمين إلى الصفحات المتأثرة. يتطلب ال…
ثغرة Stored XSS في ملحق Royal Addons for Elementor تؤثر على أداة Instagram Feed بسبب عدم كفاية تنظيف المدخلات والتحقق من المخرجات. يمكن للمهاجمين المصرحين برصيد المساهم فما فوق حقن نصوص برمجية تُنفذ عند زيارة الصفحات المتأثرة.
يسمح الاختصار fancy-img-show في مكون Fancy Image Show بحقن برامج نصية ضارة عبر السمات غير المنظفة. يمكن للمستخدمين المصرح لهم بمستوى المساهم أو أعلى تنفيذ كود JavaScript عشوائي في صفحات الموقع. تؤثر هذه الثغرة على جميع الإصدارات حتى 9.1 وتتطلب تحديثاً فورياً.
تؤثر هذه الثغرة على مكون WordPress الذي يدمج أنشطة Strava ويسمح للمهاجمين المصرح لهم بحقن نصوص برمجية مخزنة. يمكن للمهاجمين استهداف جميع زوار الصفحات المتأثرة بتنفيذ كود ضار في متصفحاتهم.
CVE-2026-5357
ثغرة حقن البرامج النصية المخزنة في إضافة Download Manager لـ WordPress عبر معامل sid
20:15 KSA
تحتوي إضافة Download Manager للووردبريس على ثغرة حقن برامج نصية مخزنة في معامل 'sid' بسبب عدم تطهير المدخلات بشكل كافٍ. يمكن للمستخدمين المصرح لهم على مستوى المساهم وما فوق حقن برامج نصية ضارة تُنفذ عند وصول أي مستخدم إلى الصفحة المصابة.
تحتوي إضافة Royal Elementor Addons على ثغرة في دالة render_post_thumbnail() حيث يتم استخدام wp_kses_post() بدلاً من esc_attr() لحماية خاصية alt في الصور. يمكن للمهاجمين المصرح لهم بمستوى المؤلف أو أعلى حقن نصوص برمجية ضارة في صفحات WordPress.
CVE-2026-5451
ثغرة XSS المخزنة في إضافة Leaflet Map لـ WordPress عبر اختصار elevation-track
07:36 KSA
تحتوي إضافة Extensions for Leaflet Map للإصدارات حتى 4.14 على ثغرة XSS مخزنة في اختصار 'elevation-track' بسبب عدم كفاية تنظيف المدخلات والمخرجات. يمكن للمستخدمين المصرح لهم على مستوى المساهم وما فوقه حقن نصوص برمجية ضارة تُنفذ عند وصول أي مستخدم إلى الصفحة المصابة.
تحتوي إضافة WP-Clippy للإصدارات حتى 1.0.0 على ثغرة XSS مخزنة في اختصار clippy بسبب عدم كفاية تنظيف المدخلات والتحقق من المخرجات. يمكن للمستخدمين المصرح لهم بمستوى المساهم وأعلى حقن نصوص برمجية ضارة تُنفذ عند وصول أي مستخدم إلى الصفحة المتأثرة.
يؤثر هذا الضعف على جميع إصدارات مكون Wavr حتى 0.2.6 ويسمح للمستخدمين المصرحين بمستوى المساهم أو أعلى بحقن رموز JavaScript ضارة. تُنفذ البرامج النصية المحقونة تلقائياً عندما يزور أي مستخدم الصفحة التي تحتوي على الاختصار المعدل.
تحتوي إضافة WowPress لـ WordPress على ثغرة XSS مخزنة في اختصار wowpress بسبب عدم كفاية تنظيف المدخلات والترميز الآمن للمخرجات. يمكن للمهاجمين المصرح لهم على مستوى المساهم أو أعلى حقن نصوص برمجية عشوائية في الصفحات. تنفذ هذه النصوص عند وصول المستخدمين إلى الصفحات المصابة.
CVE-2026-5711
ثغرة Stored XSS في مكون Post Blocks & Tools لـ WordPress في كتلة Posts Slider
11:54 KSA
يحتوي مكون Post Blocks & Tools لـ WordPress على ثغرة Stored XSS في خاصية 'sliderStyle' لكتلة Posts Slider تسمح للمؤلفين المصرح لهم بحقن نصوص برمجية ضارة. تؤثر الثغرة على جميع الإصدارات حتى 1.3.0 بسبب عدم كفاية تنقية المدخلات والترميز الآمن للمخرجات.
تحتوي إضافة Voyage Plus للووردبريس على ثغرة Stored XSS في خاصية 'class' الخاصة باختصار 'post-content' بسبب عدم كفاية تنظيف المدخلات والتحقق من المخرجات. يمكن للمستخدمين المصرح لهم على مستوى المساهم وما فوق حقن برامج نصية ضارة تُنفذ عند وصول أي مستخدم للصفحة المصابة.
تحتوي إضافة VI: Include Post By على ثغرة XSS مخزنة في سمة 'class_container' للاختصار 'include-post-by-cat' بسبب عدم كفاية تنظيف المدخلات والتحقق من المخرجات. يمكن للمستخدمين المصرحين على مستوى المساهم وما فوقه حقن نصوص برمجية ضارة تُنفذ عند وصول المستخدمين إلى الصفحات المتأثرة.
يحتوي مكون Credits Shortcode للـ WordPress على ثغرة XSS مخزنة في سمة 'link' للاختصار 'credits' بسبب عدم كفاية تنقية المدخلات والترميز الآمن للمخرجات. يمكن للمهاجمين المصرح لهم على مستوى المساهم وما فوق حقن نصوص برمجية ضارة تُنفذ عند وصول المستخدمين إلى الصفحات المصابة.
ثغرة Stored XSS في مكون scratchblocks WP تسمح للمستخدمين المصرحين بمستوى المساهم فما فوق بحقن نصوص برمجية ضارة عبر خاصية 'element' في shortcode. تنفذ البرامج الضارة المحقونة تلقائياً عند وصول أي مستخدم إلى الصفحة المتأثرة، مما يعرض بيانات المستخدمين والجلسات للخطر.
يؤثر هذا الضعف على جميع إصدارات مكون Simple Random Posts Shortcode حتى الإصدار 0.3 ويسمح للمهاجمين المصرحين بمستوى المساهم أو أعلى بحقن برامج نصية عشوائية. تُنفذ البرامج النصية المحقونة في سياق صفحة الويب مما قد يؤدي إلى سرقة بيانات المستخدم أو الجلسات.
ثغرة Stored XSS في إضافة Text Snippets لـ WordPress تسمح للمستخدمين المصرحين بمستوى المساهم وما فوق بحقن نصوص ويب عشوائية عبر خصائص اختصار ts. تنفذ هذه النصوص الضارة عند وصول المستخدمين إلى الصفحات المحقونة، مما قد يؤدي إلى سرقة الجلسات والبيانات الحساسة.
تحتوي إضافة SlideShowPro SC لـ WordPress على ثغرة Stored XSS في shortcode الخاص بها بسبب عدم كفاية تنظيف المدخلات والتحقق من المخرجات. يمكن للمستخدمين المصرح لهم على مستوى المساهم وما فوق حقن نصوص برمجية ضارة تُنفذ عند وصول أي مستخدم للصفحات المصابة.
يقرأ سكريبت التصيير الأمامي لمكون جدول المحتويات نص العناوين عبر innerText ويدرجها باستخدام innerHTML بدون تنظيف مناسب. يسمح هذا للمستخدمين المصرحين برفع المحتوى بحقن برامج نصية عشوائية تنفذ عند وصول المستخدمين للصفحات المصابة.
ملحق Flipbox لـ Elementor يعاني من ثغرة XSS مخزنة في حقل السمات المخصصة لزر URL حيث يستخدم الملحق esc_html() الذي لا يمنع سمات معالجات الأحداث مثل onmouseover و onclick. يمكن للمهاجمين المصرحين برفع مستوى المؤلف حقن نصوص برمجية عشوائية تُنفذ عند وصول المستخدمين إلى الصفحات المتأث…
يحتوي مكون Elementor Website Builder للإصدارات حتى 4.0.4 على ثغرة Stored XSS في حقل _elementor_data Meta بسبب عدم كفاية تنظيف المدخلات عند معالجة طلبات REST API المشفرة بالنموذج. يمكن للمساهمين المصرح لهم حقن برامج نصية ضارة يتم تخزينها وتنفيذها عند عرض الصفحة.
CVE-2026-6237
ثغرة تخزين XSS في مكون Quick Table لـ WordPress عبر سمة Style في Shortcode qtbl
03:16 KSA
يؤثر هذا الضعف على جميع إصدارات مكون Quick Table حتى الإصدار 1.0.0 ويسمح للمستخدمين المصرحين بمستوى المساهم فما فوق بحقن كود JavaScript ضار. يتم تنفيذ الكود المحقون في متصفحات جميع المستخدمين الذين يزورون الصفحات التي تحتوي على shortcode معدل بشكل ضار.
CVE-2018-25249
MyBB My Arcade Plugin 1.3 contains a persistent cross-site scripting vulnerability that allows authenticated users to in
03:38 KSA
MyBB My Arcade Plugin 1.3 contains a persistent cross-site scripting vulnerability that allows authenticated users to inject malicious scripts through arcade game score comments. Attackers can add crafted HTML and JavaScript payloads in the comment field that execute when other u…
CVE-2020-37225
Powie's WHOIS Domain Check 0.9.31 contains a persistent cross-site scripting vulnerability that allows authenticated att
14:19 KSA
Powie's WHOIS Domain Check 0.9.31 contains a persistent cross-site scripting vulnerability that allows authenticated attackers to inject arbitrary JavaScript by exploiting unsanitized input fields in plugin settings. Attackers can submit malicious payloads through textarea and in…
CVE-2021-47907
Rocket LMS 1.1 contains a persistent cross-site scripting vulnerability in the support ticket module that allows authent
20:16 KSA
Rocket LMS 1.1 contains a persistent cross-site scripting vulnerability in the support ticket module that allows authenticated users to inject malicious script code through the title parameter. Attackers can submit support tickets with embedded HTML/JavaScript payloads that execu…
CVE-2021-47910
AccessPress Social Icons 1.8.2 contains a stored cross-site scripting vulnerability that allows authenticated attackers
20:16 KSA
AccessPress Social Icons 1.8.2 contains a stored cross-site scripting vulnerability that allows authenticated attackers to inject malicious scripts by entering JavaScript payloads into the 'icon title' field. Attackers can store XSS payloads like image tags with onerror event han…
CVE-2021-47922
Slider by Soliloquy 2.6.2 contains a stored cross-site scripting vulnerability that allows authenticated attackers to in
20:16 KSA
Slider by Soliloquy 2.6.2 contains a stored cross-site scripting vulnerability that allows authenticated attackers to inject malicious scripts through the title parameter. Attackers can add JavaScript payloads in the title field when creating or editing sliders, which executes in…
CVE-2021-47924
Ultimate Product Catalog 5.8.2 contains a stored cross-site scripting vulnerability that allows authenticated attackers
20:16 KSA
Ultimate Product Catalog 5.8.2 contains a stored cross-site scripting vulnerability that allows authenticated attackers to inject malicious scripts through the price parameter. Attackers can submit POST requests to post.php with HTML/JavaScript payloads in the price field to exec…
CVE-2021-47925
CMDBuild 3.3.2 contains multiple stored cross-site scripting vulnerabilities that allow authenticated attackers to injec
20:16 KSA
CMDBuild 3.3.2 contains multiple stored cross-site scripting vulnerabilities that allow authenticated attackers to inject arbitrary web script or HTML via crafted input in card creation and file upload endpoints. Attackers can inject XSS payloads through Employee card parameters …
CVE-2021-47926
Contact Form to Email 1.3.24 contains a stored cross-site scripting vulnerability that allows authenticated attackers to
20:16 KSA
Contact Form to Email 1.3.24 contains a stored cross-site scripting vulnerability that allows authenticated attackers to inject malicious scripts by creating forms with script tags in the form name field. Attackers can craft form names containing JavaScript code that executes whe…
CVE-2021-47927
WordPress Plugin WP Symposium Pro 2021.10 contains a stored cross-site scripting vulnerability that allows authenticated
20:16 KSA
WordPress Plugin WP Symposium Pro 2021.10 contains a stored cross-site scripting vulnerability that allows authenticated attackers to inject malicious scripts by exploiting insufficient sanitization of the forum name parameter. Attackers can submit POST requests to the admin setu…
CVE-2021-47929
Filterable Portfolio Gallery 1.0 contains a stored cross-site scripting vulnerability that allows authenticated attacker
20:16 KSA
Filterable Portfolio Gallery 1.0 contains a stored cross-site scripting vulnerability that allows authenticated attackers to inject malicious JavaScript by entering payloads in the title field. Attackers can store JavaScript code like image tags with onerror handlers that execute…
CVE-2021-47931
Exponent CMS 2.6 contains a stored cross-site scripting vulnerability that allows authenticated attackers to inject mali
20:16 KSA
Exponent CMS 2.6 contains a stored cross-site scripting vulnerability that allows authenticated attackers to inject malicious scripts through the Title and Text Block parameters in the text editing endpoint. Attackers can inject iframe payloads with embedded SVG onload events to …
CVE-2021-47947
Projectsend r1295 contains a stored cross-site scripting vulnerability that allows authenticated attackers to inject mal
20:16 KSA
Projectsend r1295 contains a stored cross-site scripting vulnerability that allows authenticated attackers to inject malicious scripts by submitting crafted input in the 'name' parameter of files-edit.php. Attackers can inject JavaScript payloads through the file name field that …
⚠️ استخبارات التهديدات
36 تهديد
rss:Dark Reading
—
04:18 KSA
انقلاب الطاولة على عصابة 'The Gentlemen' للفدية مع تسرب البيانات
كشف فشل في الأمان العملياتي العمليات الداخلية لعصابة 'The Gentlemen' للفدية كخدمة، مما كشف عن نموذج الشركاء والتكتيكات والهيكل التنظيمي. يوفر الاختراق معلومات استخباراتية قيمة حول كيفية ع…
rss:BleepingComputer
—
03:04 KSA
ثغرة حرجة جديدة في برنامج Exim للبريد الإلكتروني تسمح بتنفيذ أكواد بعيدة
ثغرة حرجة في وكيل نقل البريد Exim تسمح للمهاجمين البعيدين غير المصرح لهم بتنفيذ أكواد عشوائية على الأنظمة المتأثرة. تؤثر هذه الثغرة على البنية التحتية للبريد الإلكتروني عبر عدة منظمات وتتطل…
rss:Dark Reading
—
02:00 KSA
مجلة Dark Reading تحتفل بمرور 20 عاماً كسلطة رائدة في الأمن السيبراني، مسلطة الضوء على الأشخاص والأحداث والأفكار والتقنيات التي تشكل مشهد المخاطر الحديث
تحتفل مجلة Dark Reading، وهي منشور متخصص رائد في مجال الأمن السيبراني، بمرور 20 عاماً على تأسيسها من خلال إطل…
rss:SecurityWeek
—
23:54 KSA
فوكسكون تؤكد تعرض مصانعها في أمريكا الشمالية لهجوم إلكتروني
تعرضت مصانع فوكسكون في أمريكا الشمالية للاختراق من قبل مجموعة برامج الفدية Nitrogen، التي تؤكد سرقة 8 تيرابايت من البيانات السرية. يؤثر هذا الهجوم على شركة تصنيع إلكترونيات حرجة وشريك سلسلة توريد لشركات…
rss:SecurityWeek
—
22:47 KSA
مايكروسوفت وباللو ألتو نتوركس تكتشفان العديد من الثغرات باستخدام الذكاء الاصطناعي على أكوادهما الخاصة
تستخدم مايكروسوفت وباللو ألتو نتوركس أدوات مدعومة بالذكاء الاصطناعي (MDASH و Mythos على التوالي) لاكتشاف الثغرات في أكوادهما الخاصة بشكل استباقي. اكتشفت أداة MD…
rss:BleepingComputer
—
22:47 KSA
ندوة غدا: لماذا الأمان وحده لن يوقف الهجمات الحديثة
تناقش ندوة ويب حدود استراتيجيات الأمان القائمة على الوقاية فقط ضد الهجمات السيبرانية الحديثة، مع التركيز على الحاجة إلى مرونة سيبرانية شاملة من خلال التكامل بين الأمان والنسخ الاحتياطية وتخطيط التعافي.
rss:BleepingComputer
—
22:47 KSA
ثغرة في Windows BitLocker تمنح الوصول إلى الأقراص المحمية، تم نشر إثبات المفهوم
تم الكشف عن ثغرة حرجة في BitLocker تسمى YellowKey وعيب في تصعيد الامتيازات يسمى GreenPlasma في نظام Windows مع نشر استغلالات إثبات المفهوم. تسمح هذه الثغرات غير المصححة للمهاجمين بال…
rss:SecurityWeek
—
21:47 KSA
Sweet Security تطلق اختبار الاختراق بالذكاء الاصطناعي الوكيل لمواجهة 'لحظة Mythos'
أطلقت Sweet Security منصة 'Sweet Attack' الجديدة التي تستخدم ذكاء اصطناعي وكيل مع اختبار اختراق مستمر لتحديد سلاسل الهجوم المعقدة التي قد تغفل عنها فرق الأمن البشرية. يه…
rss:BleepingComputer
—
21:46 KSA
مايكروسوفت تصلح مشكلة استرجاع BitLocker فقط لمستخدمي Windows 11
أصدرت مايكروسوفت إصلاحاً لمشكلة حرجة حيث دخلت أنظمة Windows 11 إلى وضع استرجاع BitLocker بعد تثبيت تحديثات الأمان لأبريل 2026، مما قد يؤثر على توفر الأنظمة والوصول إلى البيانات. قد تؤثر هذه الثغرة ع…
rss:Malwarebytes Lab
—
20:46 KSA
تكساس تقاضي نتفليكس بسبب جمع وبيع بيانات المستخدمين بسرية
رفعت النيابة العامة بولاية تكساس دعوى قضائية ضد نتفليكس بسبب جمع وبيع بيانات المستخدمين دون تصريح، بالإضافة إلى استخدام ميزات إدمانية موجهة للقاصرين. يمثل هذا انتهاكاً خطيراً لخصوصية البيانات يؤثر على ملا…
rss:SecurityWeek
—
20:46 KSA
ندوة اليوم: العائد على الاستثمار لبرامج أمن الأنظمة السيبرانية الفيزيائية
ندوة تركز على مساعدة فرق أمن تكنولوجيا التشغيل وأصحاب الأصول على إثبات القيمة التجارية والعائد على الاستثمار من برامج أمن الأنظمة السيبرانية الفيزيائية. تهدف الجلسة إلى تغيير نظرة الأمن من…
rss:The Hacker News
—
20:46 KSA
شركة طاقة أذربيجانية تتعرض لهجمات متكررة عبر استغلال Microsoft Exchange
نفذ جهة تهديد مرتبطة بالصين حملة اختراق متعددة الموجات ضد شركة نفط وغاز أذربيجانية من ديسمبر 2025 إلى فبراير 2026، مستغلة ثغرات Microsoft Exchange. يمثل هذا الهجوم توسعاً في نطاق استهداف جهة…
rss:The Hacker News
—
20:46 KSA
نظام MDASH للذكاء الاصطناعي من مايكروسوفت يكتشف 16 ثغرات في Windows تم إصلاحها في تحديث Patch Tuesday
أطلقت مايكروسوفت نظام MDASH المدعوم بالذكاء الاصطناعي لاكتشاف الثغرات الأمنية وتسهيل معالجتها على نطاق واسع. يخضع النظام حالياً لاختبار معاينة خاصة محدودة مع عم…
rss:BleepingComputer
—
20:46 KSA
مايكروسوفت تصلح خلل في Windows Autopatch يقوم بتثبيت برامج تشغيل مقيدة
أصلحت مايكروسوفت ثغرة حرجة في Windows Autopatch تجاوزت سياسات الأمان الإدارية وقامت بنشر برامج تشغيل مقيدة على الأجهزة المُدارة في الاتحاد الأوروبي. قد تسمح هذه الثغرة بتعديلات نظام غير مصرح …
rss:SecurityWeek
—
19:18 KSA
الحكومة تفحص شركة Instructure بشأن انقطاع Canvas وخرق البيانات
طلبت لجنة الأمن الوطني الأمريكية إحاطة حول انقطاع منصة Canvas التابعة لشركة Instructure وخرق البيانات المرتبط به. تفحص الحكومة جهود الشركة في معالجة الحادث الأمني واستجابتها له.
rss:Dark Reading
—
19:18 KSA
مجموعة FamousSparrow الصينية المرتبطة بـ APT تتوغل في شركة طاقة بجنوب القوقاز
استهدفت مجموعة APT الصينية المرتبطة بـ 'FamousSparrow' شركة نفط وغاز أذربيجانية بهجمات إلكترونية متكررة، مما يوسع نطاق عملياتها خارج القطاعات التقليدية مثل الضيافة والاتصالات والحكومة.…
rss:Dark Reading
—
19:18 KSA
قراصنة LatAm Vibe ينتجون أدوات اختراق مخصصة على الفور
تستخدم حملتان تهديد في أمريكا اللاتينية وكلاء ذكاء اصطناعي لأتمتة وتعزيز الهجمات الإلكترونية ضد المنظمات في المكسيك والبرازيل. يمثل هذا تصعيداً في تطور الهجمات من خلال دمج الذكاء الاصطناعي في توليد ونشر البرا
rss:The Hacker News
—
19:18 KSA
مايكروسوفت تصحح 138 ثغرة أمنية، بما فيها ثغرات DNS و Netlogon RCE
أصدرت مايكروسوفت تصحيحات لـ 138 ثغرة أمنية تشمل ثغرات DNS و Netlogon الحرجة للتنفيذ البعيد للأوامر. يتضمن التصحيح 30 ثغرة بتصنيف حرج، على الرغم من عدم معرفة أي منها بالاستغلال العام حالياً.
rss:The Hacker News
—
19:18 KSA
معظم برامج المعالجة لا تؤكد أن الإصلاح نجح فعلاً
تواجه فرق الأمن صعوبة في التحقق من بقاء الثغرات مصححة بعد المعالجة، رغم تحسن الرؤية في البيئات. يكشف تقرير Mandiant M-Trends 2026 عن وقت استغلال سلبي، مما يشير إلى استغلال المهاجمين للثغرات قبل تطبيق التصحيحات.
rss:The Hacker News
—
19:18 KSA
ندوة ويب: لماذا تفتقد أدوات أمان التطبيقات "المسار القاتل" (وكيفية إصلاحه)
تفشل أدوات الأمان غالباً في اكتشاف كيفية ربط المهاجمين لعدة ثغرات صغيرة معاً لتشكيل مسارات هجوم حرجة. تناقش الندوة كيفية تحديد وقطع هذه 'السلاسل القاتلة' قبل استغلالها.
rss:BleepingComputer
—
19:18 KSA
مايكروسوفت: بعض المستخدمين لا يستطيعون تثبيت Office على أجهزة Windows 365
أبلغت مايكروسوفت عن مشكلة تقنية تمنع بعض العملاء من تحميل وتثبيت تطبيقات Office على أجهزة Windows 365 السحابية. تؤثر هذه المشكلة على الإنتاجية وقد تؤثر على استمرارية الأعمال للمنظمات المتأ
rss:BleepingComputer
—
19:18 KSA
73 ثانية للاختراق، 24 ساعة للتصحيح: حالة التحقق المستقل
تسلط المقالة الضوء على الفجوة الحرجة بين سرعة الهجوم (73 ثانية) وأوقات الاستجابة الدفاعية (ساعات إلى أيام)، مؤكدة على ضرورة التحقق المستقل في استراتيجيات الأمن السيبراني. توضح Picus Security لماذا يعتبر الت…
rss:BleepingComputer
—
19:18 KSA
فوكسكون تؤكد تعرضها لهجوم إلكتروني من عصابة برنامج Nitrogen الفدائي
أكدت فوكسكون، أكبر مصنع إلكترونيات في العالم، تعرضها لهجوم إلكتروني من عصابة برنامج Nitrogen الفدائي أثر على مصانعها في أمريكا الشمالية. تسبب الهجوم في تعطيل العمليات، والشركة تعمل على استعادة ا…
rss:Malwarebytes Lab
—
17:48 KSA
ثلاثاء التصحيح في مايو 2026: بدون ثغرات يوم الصفر لكن الكثير لإصلاحه
يتضمن إصدار ثلاثاء التصحيح لشهر مايو 2026 من مايكروسوفت معالجة لعدة ثغرات أمنية دون الكشف عن أي ثغرات يوم الصفر. يجب على المنظمات إعطاء الأولوية لتطبيق هذه التصحيحات الأمنية للحفاظ على سلامة ال…
rss:SecurityWeek
—
17:48 KSA
مايكروسوفت تصحح ثغرة حرجة في Outlook بدون نقرة تهدد المؤسسات
أصدرت مايكروسوفت تصحيحاً حرجاً لثغرة CVE-2026-40361، وهي ثغرة بدون نقرة في Outlook تشكل خطراً كبيراً على المؤسسات. تشبه الثغرة BadWinmail، وهي عيب قديم يعود لعقد مضى كان يعتبر 'قاتل المؤسسات'.
rss:SecurityWeek
—
17:48 KSA
اختراق OpenLoop Health يؤثر على 716,000 مستخدم
تعرضت منصة OpenLoop Health للرعاية الصحية عن بعد لاختراق في يناير أدى إلى سرقة البيانات الشخصية لـ 716,000 مستخدم. كشف الحادث عن بيانات صحية حساسة مخزنة على أنظمة المنصة.
rss:SecurityWeek
—
16:26 KSA
فورتينت وإيفانتي تصدران تصحيحات للثغرات الحرجة
أصدرت شركتا فورتينت وإيفانتي تصحيحات لثغرات حرجة قد تسمح للمهاجمين بتنفيذ أكواد عشوائية والوصول إلى معلومات حساسة. يشكل استغلال هذه الثغرات خطراً كبيراً على المنظمات التي تستخدم حلول الأمان من هاتين الشركتين.
rss:The Hacker News
—
16:26 KSA
GemStuffer يسيء استخدام أكثر من 150 حجرة Ruby لتسريب بيانات بوابة المجلس البريطاني
اكتشف الباحثون حملة GemStuffer التي تستغل أكثر من 150 حزمة RubyGems لتسريب البيانات المكشوفة من بوابات المجالس البريطانية. تسيء الحزم الضارة استخدام السجل كقناة لتسريب البيانات بد…
rss:SecurityWeek
—
15:00 KSA
ثلاثاء التصحيحات لمصنعي الرقائق: إنتل وإيه إم دي يصححان 70 ثغرة أمنية
أصدرت شركتا إنتل وإيه إم دي عدة استشارات أمنية تتناول أكثر من 70 ثغرة أمنية مكتشفة حديثاً في رقائقهما. تعتبر هذه التصحيحات حاسمة للمنظمات التي تستخدم هذه المعالجات لمنع الاستغلال المحتمل. يشير…
rss:The Hacker News
—
15:00 KSA
أندرويد يضيف تسجيل الاختراق لتحليل برامج التجسس المتطورة
أطلقت جوجل ميزة جديدة اختيارية في أندرويد تسمى تسجيل الاختراق ضمن وضع الحماية المتقدمة لتخزين السجلات الجنائية لتحليل هجمات برامج التجسس المتطورة. تتيح هذه القدرة على التسجيل الحفاظ على الخصوصية تحقيقاً وك…
rss:SecurityWeek
—
13:36 KSA
ثلاثاء الرقع الصناعية: مستشارات أمان جديدة من Siemens و Schneider و CISA
أصدرت CISA وكبار بائعي أنظمة التحكم الصناعية بما فيهم Siemens و Schneider Electric مستشارات أمان لثلاثاء الرقع في مايو 2026، تتناول الثغرات في أنظمة التحكم الصناعية. لم يقم العديد من بائعي …
rss:SecurityWeek
—
13:36 KSA
مئات الحزم الضارة تجبر RubyGems على إيقاف التسجيلات
تم نشر أكثر من 500 حزمة ضارة في هجوم منسق ضد مستودع RubyGems، استهدف المنصة نفسها بدلاً من المستخدمين النهائيين. أجبر الهجوم RubyGems على إيقاف تسجيل الحزم الجديدة كإجراء وقائي. يوضح هذا الهجوم على سلسلة التوري…
rss:BleepingComputer
—
05:58 KSA
الحكومة الأمريكية تطلب شهادة من Instructure بشأن هجوم سيبراني ضخم على Canvas
تطالب لجنة الأمن الوطني بمجلس النواب الأمريكي مسؤولي شركة Instructure بتقديم شهادة حول هجومين سيبرانيين نفذتهما مجموعة ShinyHunters الإجرامية على منصة Canvas. أسفرت الهجمات عن سرقة بيان…
rss:Krebs on Securit
—
04:51 KSA
يوم تصحيح الثغرات، إصدار مايو 2026
أصدرت مايكروسوفت وشركات برمجيات رائدة أخرى تصحيحات أمنية حرجة في مايو 2026، حيث أظهرت أنظمة الذكاء الاصطناعي قدرة محسّنة على تحديد الثغرات في البرامج الشهيرة. تعالج التصحيحات عدة عيوب أمنية يمكن استغلالها من قبل الجهات الفاعلة …
rss:Dark Reading
—
03:42 KSA
يوم تصحيح مايكروسوفت الشهري: لا توجد ثغرات يوم الصفر في الأفق
يعالج تصحيح مايكروسوفت الشهري 137 ثغرة أمنية تشمل 9 ثغرات حرجة، مما يمثل أول مرة في سنتين بدون استغلال ثغرات يوم الصفر. يجب على مسؤولي الأنظمة إعطاء الأولوية لتصحيح الثغرات الحرجة للحفاظ على وضع الأما…
rss:BleepingComputer
—
03:42 KSA
تحديث ميكروسوفت في مايو 2026 يصحح 120 ثغرة، بدون ثغرات يوم الصفر
أصدرت ميكروسوفت تحديثات أمنية لـ 120 ثغرة في تحديث يوم الثلاثاء في مايو 2026 بدون أي ثغرات يوم الصفر معروفة. يجب على المنظمات تطبيق هذه التحديثات بأولوية للحفاظ على أمان الأنظمة وتقليل سطح الهجوم.
📰 أخبار الأمن السيبراني
1 مقال
متغير LockBit 3.0 يستهدف قطاع الرعاية الصحية السعودي بتكتيكات الابتزاز المزدوج
03:16 KSA
تم اكتشاف متغير متطور من برنامج الفدية LockBit 3.0 يستهدف مؤسسات الرعاية الصحية في جميع أنحاء المملكة العربية السعودية، باستخدام أساليب الابتزاز المزدوج التي تشفر البيانات مع التهديد بتسريب معلومات ال…
يتم تحديث هذه النشرة تلقائياً يومياً — آخر تحديث: 13 May 2026
أرشيف الثغرات ·
التهديدات ·
الأخبار