📧 info@ciso.sa | 📱 +966550939344 | الرياض، المملكة العربية السعودية
عن المنصة الأسئلة الشائعة اتصل بنا شروط الخدمة سياسة الخصوصية 🌐 English
🔐

مرحباً — سجّل دخولك أو أنشئ حساباً للوصول الكامل.

🔑 دخول ✨ حساب جديد
🌐 EN تسجيل الدخول إنشاء حساب
🔧 صيانة مجدولة — السبت 2:00-4:00 صباحاً. قد تكون بعض الميزات غير متاحة مؤقتاً.    ●   
💎
خطة Pro بخصم 50% احصل على جميع ميزات AI والتقارير غير المحدودة والدعم ذي الأولوية. الترقية الآن
مركز البحث
ESC للإغلاق
تنقل فتح Ctrl+K بحث
CISO Consulting
Global phishing الجمهور العام / الخدمات المالية HIGH 1h Global supply_chain الأمن السيبراني / إدارة مخاطر الطرف الثالث HIGH 1h Global general تكنولوجيا المعلومات والأمن السيبراني HIGH 1h Global malware الخدمات المالية والمصرفية والعملات الرقمية CRITICAL 1h Global phishing الإعلام والترفيه HIGH 1h Global general حلول الأمن السيبراني وحماية الأجهزة الطرفية MEDIUM 2h Global ransomware الرعاية الصحية CRITICAL 2h Global data_breach الصيدلة والرعاية الصحية CRITICAL 2h Global general تكنولوجيا المعلومات والأمن السيبراني MEDIUM 2h Global apt البنية التحتية الحرجة - المياه والصرف الصحي CRITICAL 3h Global phishing الجمهور العام / الخدمات المالية HIGH 1h Global supply_chain الأمن السيبراني / إدارة مخاطر الطرف الثالث HIGH 1h Global general تكنولوجيا المعلومات والأمن السيبراني HIGH 1h Global malware الخدمات المالية والمصرفية والعملات الرقمية CRITICAL 1h Global phishing الإعلام والترفيه HIGH 1h Global general حلول الأمن السيبراني وحماية الأجهزة الطرفية MEDIUM 2h Global ransomware الرعاية الصحية CRITICAL 2h Global data_breach الصيدلة والرعاية الصحية CRITICAL 2h Global general تكنولوجيا المعلومات والأمن السيبراني MEDIUM 2h Global apt البنية التحتية الحرجة - المياه والصرف الصحي CRITICAL 3h Global phishing الجمهور العام / الخدمات المالية HIGH 1h Global supply_chain الأمن السيبراني / إدارة مخاطر الطرف الثالث HIGH 1h Global general تكنولوجيا المعلومات والأمن السيبراني HIGH 1h Global malware الخدمات المالية والمصرفية والعملات الرقمية CRITICAL 1h Global phishing الإعلام والترفيه HIGH 1h Global general حلول الأمن السيبراني وحماية الأجهزة الطرفية MEDIUM 2h Global ransomware الرعاية الصحية CRITICAL 2h Global data_breach الصيدلة والرعاية الصحية CRITICAL 2h Global general تكنولوجيا المعلومات والأمن السيبراني MEDIUM 2h Global apt البنية التحتية الحرجة - المياه والصرف الصحي CRITICAL 3h
📅 النشرة الأمنية اليومية — 16 May 2026

🇸🇦 النشرة الأمنية السعودية

جميع الثغرات الأمنية والتهديدات والأخبار المجمّعة اليوم من مصادر موثوقة — محدّث باستمرار

16 May 2026 اليوم
153 ثغرة
5 تهديد
0 خبر
🛡 الثغرات الأمنية (CVE)
153 ثغرة
CVE-2020-37227
ثغرة تحميل ملفات غير مقيدة في HS Brand Logo Slider 2.1 تؤدي لتنفيذ أوامر بعيد
19:18 KSA
عالٍ CVSS 8.8 CWE-434
تؤثر هذه الثغرة على مكون HS Brand Logo Slider الإصدار 2.1 وتسمح للمستخدمين المصرحين بتجاوز التحقق من امتداد الملف على جانب العميل. يمكن للمهاجمين اعتراض طلبات التحميل وإعادة تسمية الملفات إلى امتدادات PHP لتحقيق تنفيذ أوامر بعيد على الخادم.
CVE-2021-47976
تنفيذ أكواد بعيدة في TextPattern CMS 4.9.0-dev عبر تحميل المكونات الإضافية
19:18 KSA
عالٍ CVSS 8.8 CWE-352
تحتوي نسخة TextPattern CMS 4.9.0-dev على ثغرة في وظيفة تحميل المكونات الإضافية تسمح للمهاجمين المصرح لهم بتحميل ملفات PHP تعسفية. يمكن للمهاجمين الحصول على رمز CSRF من صفحة حدث المكون الإضافي وتحميل ملفات ضارة إلى مجلد textpattern/tmp/ لتنفيذ أكواد عشوائية.
CVE-2021-47979
ثغرة حذف الملفات التعسفية في إضافة النسخ الاحتياطي واستعادة ووردبريس 1.0.3
19:18 KSA
عالٍ CVSS 8.8 CWE-22
تحتوي إضافة ووردبريس Backup and Restore الإصدار 1.0.3 على ثغرة تسمح للمهاجمين المصرح لهم بحذف الملفات التعسفية من خلال معالجات AJAX. يمكن للمهاجمين إرسال طلبات POST إلى admin-ajax.php مع معاملات file_name و folder_name مزيفة لحذف الملفات الحرجة.
CVE-2026-34329
Heap-based buffer overflow in Windows Message Queuing allows an unauthorized attacker to execute code over an adjacent n
01:00 KSA
عالٍ CVSS 8.8 CWE-122
Heap-based buffer overflow in Windows Message Queuing allows an unauthorized attacker to execute code over an adjacent network.
CVE-2026-6073
GitLab has remediated an issue in GitLab EE affecting all versions from 18.7 before 18.9.7, 18.10 before 18.10.6, and 18
10:36 KSA
عالٍ CVSS 8.7 CWE-79
GitLab has remediated an issue in GitLab EE affecting all versions from 18.7 before 18.9.7, 18.10 before 18.10.6, and 18.11 before 18.11.3 that could have allowed an authenticated user to execute arbitrary JavaScript in other users' browsers due to improper input sanitization.
CVE-2026-7377
GitLab has remediated an issue in GitLab EE affecting all versions from 18.7 before 18.9.7, 18.10 before 18.10.6, and 18
10:36 KSA
عالٍ CVSS 8.7 CWE-79
GitLab has remediated an issue in GitLab EE affecting all versions from 18.7 before 18.9.7, 18.10 before 18.10.6, and 18.11 before 18.11.3 that, in customizable analytics dashboards, could have allowed an authenticated user to execute arbitrary JavaScript in the context of other …
CVE-2020-37242
ثغرة حقن SQL غير مصرح بها في Supsystic Ultimate Maps 1.1.12 عبر معامل sidx
19:18 KSA
عالٍ CVSS 8.2 CWE-89
تحتوي نسخة Supsystic Ultimate Maps 1.1.12 على ثغرة حقن SQL حرجة تسمح للمهاجمين غير المصرح لهم بتنفيذ استعلامات SQL عشوائية. يمكن استغلال هذه الثغرة من خلال معامل 'sidx' باستخدام تقنيات العمياء القائمة على الوقت أو القيمة المنطقية. قد يؤدي هذا إلى الوصول غير المصرح به إلى بيانات ق…
CVE-2020-37243
ثغرات حقن SQL و XSS المخزنة في Supsystic Pricing Table 1.8.7
19:18 KSA
عالٍ CVSS 8.2 CWE-89
يحتوي مكون Supsystic Pricing Table الإصدار 1.8.7 على ثغرة حقن SQL في معامل 'sidx' تسمح للمهاجمين غير المصرح لهم بتنفيذ استعلامات SQL عشوائية من خلال إجراء getListForTbl. يحتوي المكون أيضاً على ثغرات XSS مخزنة في حقول 'Edit name' و 'Edit HTML' التي تنفذ برامج نصية ضارة عند عرض جدا…
CVE-2020-37244
ثغرة حقن SQL غير مصرح بها في Supsystic Membership 1.4.7 في وحدة الشارات
19:18 KSA
عالٍ CVSS 8.2 CWE-89
يحتوي مكون Supsystic Membership الإصدار 1.4.7 على ثغرة حقن SQL تسمح للمهاجمين غير المصرح لهم بتنفيذ استعلامات SQL عشوائية. يمكن للمهاجمين إرسال طلبات GET إلى وحدة الشارات مع حمولات مصممة لاستخراج معلومات حساسة من قاعدة البيانات باستخدام تقنيات حقن SQL العمياء المستندة إلى الوقت أ…
CVE-2021-47954
ثغرة حقن SQL في LayerBB 1.1.4 في معامل البحث
19:18 KSA
عالٍ CVSS 8.2 CWE-89
ثغرة حقن SQL في LayerBB 1.1.4 تؤثر على معامل search_query في /search.php وتسمح للمهاجمين غير المصرحين بتنفيذ استعلامات SQL عشوائية. يمكن للمهاجمين استخراج بيانات حساسة من قاعدة البيانات بما في ذلك بيانات المستخدمين والمعلومات السرية باستخدام عبارات CASE WHEN.
CVE-2021-47956
ثغرة حقن SQL غير مصرح بها في EgavilanMedia PHPCRUD 1.0 في معامل firstname
19:18 KSA
عالٍ CVSS 8.2 CWE-89
تحتوي نسخة PHPCRUD 1.0 من EgavilanMedia على ثغرة حقن SQL حرجة تسمح للمهاجمين بدون مصادقة بإرسال طلبات POST إلى insert.php مع قيم firstname ضارة. يمكن للمهاجمين استخدام هذه الثغرة لاستخراج بيانات حساسة من قاعدة البيانات والتلاعب بسجلات البيانات.
CVE-2026-33833
Improper neutralization of special elements in output used by a downstream component ('injection') in Azure Machine Lear
09:11 KSA
عالٍ CVSS 8.2 CWE-74
Improper neutralization of special elements in output used by a downstream component ('injection') in Azure Machine Learning allows an unauthorized attacker to perform spoofing over a network.
CVE-2026-34332
Use after free in Windows Kernel-Mode Drivers allows an authorized attacker to execute code over a network.
01:00 KSA
عالٍ CVSS 8.0 CWE-416
Use after free in Windows Kernel-Mode Drivers allows an authorized attacker to execute code over a network.
CVE-2020-37229
OKI sPSV Port Manager 1.0.41 contains an unquoted service path vulnerability in the sPSVOpLclSrv service that allows loc
19:18 KSA
عالٍ CVSS 7.8 CWE-428
OKI sPSV Port Manager 1.0.41 contains an unquoted service path vulnerability in the sPSVOpLclSrv service that allows local attackers to escalate privileges by inserting executable files into the unquoted path. Attackers can place a malicious executable in a directory within the s…
CVE-2020-37230
Syncplify.me Server! 5.0.37 contains an unquoted service path vulnerability in the SMWebRestServicev5 service that allow
19:18 KSA
عالٍ CVSS 7.8 CWE-428
Syncplify.me Server! 5.0.37 contains an unquoted service path vulnerability in the SMWebRestServicev5 service that allows local attackers to escalate privileges by exploiting the unquoted binary path. Attackers can insert a malicious executable into the service path and execute i…
CVE-2020-37231
Privacy Drive 3.17.0 contains an unquoted service path vulnerability in the pdsvc.exe service binary that allows local a
19:18 KSA
عالٍ CVSS 7.8 CWE-428
Privacy Drive 3.17.0 contains an unquoted service path vulnerability in the pdsvc.exe service binary that allows local attackers to escalate privileges by exploiting the service startup process. Attackers can place malicious executables in the unquoted path directories to execute…
CVE-2020-37232
Advanced System Care Service 13.0.0.157 contains an unquoted service path vulnerability in the AdvancedSystemCareService
19:18 KSA
عالٍ CVSS 7.8 CWE-428
Advanced System Care Service 13.0.0.157 contains an unquoted service path vulnerability in the AdvancedSystemCareService13 service binary path that allows local attackers to escalate privileges. Attackers can place malicious executables in the system root path that will be execut…
CVE-2020-37247
Kite 4.2.0.1 U1 contains an unquoted service path vulnerability in the KiteService Windows service that allows local att
19:18 KSA
عالٍ CVSS 7.8 CWE-428
Kite 4.2.0.1 U1 contains an unquoted service path vulnerability in the KiteService Windows service that allows local attackers to escalate privileges by exploiting the service binary path. Attackers can place a malicious executable in the Program Files directory to be executed wi…
CVE-2021-47974
VX Search 13.5.28 contains an unquoted service path vulnerability in both VX Search Server and VX Search Enterprise serv
19:18 KSA
عالٍ CVSS 7.8 CWE-428
VX Search 13.5.28 contains an unquoted service path vulnerability in both VX Search Server and VX Search Enterprise services that allows local attackers to escalate privileges. Attackers can place malicious executables in unquoted path directories like C:\Program Files\VX Search …
CVE-2026-33834
Improper access control in Windows Event Logging Service allows an authorized attacker to elevate privileges locally.
09:11 KSA
عالٍ CVSS 7.8 CWE-284
Improper access control in Windows Event Logging Service allows an authorized attacker to elevate privileges locally.
CVE-2026-33835
ثغرة استخدام بعد التحرير في برنامج تشغيل Windows Cloud Files لترقية الامتيازات
12:18 KSA
عالٍ CVSS 7.8 CWE-416
ثغرة استخدام بعد التحرير (Use-After-Free) في برنامج تشغيل Windows Cloud Files Mini Filter تسمح للمستخدمين المصرح لهم بترقية امتيازاتهم إلى مستوى النظام. تؤثر هذه الثغرة على أنظمة Windows التي تستخدم خدمات Cloud Files وتتطلب وصولاً محلياً للاستغلال.
CVE-2026-33837
تجاوز المخزن المؤقت على الكومة في TCP/IP بنظام Windows لزيادة الامتيازات
15:48 KSA
عالٍ CVSS 7.8 CWE-122
ثغرة تجاوز المخزن المؤقت على الكومة في مكدس بروتوكول TCP/IP في Windows تسمح للمستخدمين المصرح لهم محليًا بتنفيذ كود عشوائي وزيادة امتيازاتهم إلى مستوى النظام. تؤثر هذه الثغرة على أنظمة Windows المختلفة وتتطلب وصولاً محليًا للاستغلال. يمكن استخدام هذه الثغرة كجزء من هجمات متعددة ا…
CVE-2026-33838
ثغرة تحرير الذاكرة المزدوج في خدمة قائمة الرسائل بنظام ويندوز
15:48 KSA
عالٍ CVSS 7.8 CWE-415
ثغرة تحرير الذاكرة المزدوج في خدمة Message Queuing بنظام ويندوز تسمح للمهاجمين المصرح لهم محلياً بتصعيد الامتيازات. تؤثر الثغرة على إدارة الذاكرة في الخدمة مما قد يؤدي إلى تسرب البيانات والتحكم غير المصرح به بالنظام.
CVE-2026-33840
Use after free in Windows Win32K - ICOMP allows an authorized attacker to elevate privileges locally.
22:16 KSA
عالٍ CVSS 7.8 CWE-416
Use after free in Windows Win32K - ICOMP allows an authorized attacker to elevate privileges locally.
CVE-2026-33841
Heap-based buffer overflow in Windows Kernel allows an authorized attacker to elevate privileges locally.
22:16 KSA
عالٍ CVSS 7.8 CWE-122
Heap-based buffer overflow in Windows Kernel allows an authorized attacker to elevate privileges locally.
CVE-2026-34330
Integer overflow or wraparound in Windows Win32K - GRFX allows an authorized attacker to elevate privileges locally.
01:00 KSA
عالٍ CVSS 7.8 CWE-190
Integer overflow or wraparound in Windows Win32K - GRFX allows an authorized attacker to elevate privileges locally.
CVE-2020-37245
Supsystic Digital Publications 1.6.9 اجتياز المسار والبرامج النصية المخزنة
19:18 KSA
عالٍ CVSS 7.5 CWE-79
تحتوي نسخة 1.6.9 من Supsystic Digital Publications على ثغرة اجتياز مسار في حقل إدخال المجلد تسمح للمهاجمين بالوصول إلى الملفات خارج جذر الويب. بالإضافة إلى ذلك، يفشل المكون الإضافي في تطهير حقول الإدخال في إعدادات النشر، مما يسمح بهجمات البرامج النصية المخزنة من خلال حقن البرامج …
CVE-2021-47942
ثغرة Path Traversal في HACS 1.10.0 تمكن من الوصول غير المصرح للملفات
19:18 KSA
عالٍ CVSS 7.5 CWE-22
ثغرة path traversal في Home Assistant Community Store (HACS) الإصدار 1.10.0 تسمح للمهاجمين غير المصرح لهم بالوصول إلى الملفات الحساسة عبر نقطة نهاية /hacsfiles/. يمكن للمهاجمين استخراج ملف .storage/auth الذي يحتوي على بيانات اعتماد المستخدم وتوكنات التحديث ثم صياغة توكنات JWT صحي…
CVE-2021-47969
ثغرة حجب الخدمة في Color Notes 1.4 عبر إدخال أحرف زائدة
19:18 KSA
عالٍ CVSS 7.5 CWE-789
يسمح هذا الضعف للمهاجمين بإرسال سلاسل أحرف طويلة جداً إلى حقول الملاحظات مما يسبب استهلاك موارد النظام بشكل مفرط. يؤدي هذا إلى توقف التطبيق عن الاستجابة وعدم القدرة على استخدامه من قبل المستخدمين الشرعيين.
CVE-2021-47970
ثغرة حجب الخدمة في Macaron Notes 5.5 عبر إدخال أحرف مفرط
19:18 KSA
عالٍ CVSS 7.5 CWE-789
تحتوي نسخة Macaron Notes 5.5 على ثغرة في معالجة المدخلات تسمح بإدخال سلاسل أحرف غير محدودة. يمكن للمهاجمين استغلال هذه الثغرة لاستهلاك موارد النظام وتعطيل التطبيق بشكل كامل. الثغرة تؤثر على توفر الخدمة وتؤدي إلى فقدان الإنتاجية.
CVE-2021-47971
ثغرة حجب الخدمة في My Notes Safe 5.3 عبر إدخال نصي طويل جداً
19:18 KSA
عالٍ CVSS 7.5 CWE-789
ثغرة حجب الخدمة في My Notes Safe 5.3 تسمح للمهاجمين بتعطيل التطبيق بلصق سلاسل نصية طويلة جداً في حقول الملاحظات. يمكن تفعيل الثغرة بإدراج 350,000 حرف متكرر مرتين في ملاحظة جديدة، مما يسبب توقف فوري للتطبيق.
CVE-2021-47972
Sticky Notes & Color Widgets 1.4.2 contains a denial of service vulnerability that allows attackers to crash the applica
19:18 KSA
عالٍ CVSS 7.5 CWE-789
Sticky Notes & Color Widgets 1.4.2 contains a denial of service vulnerability that allows attackers to crash the application by creating notes with excessively long character strings. Attackers can paste large payloads of repeated characters into note fields to trigger applicatio…
CVE-2021-47973
Sticky Notes Widget 3.0.6 contains a denial of service vulnerability that allows attackers to crash the application by p
19:18 KSA
عالٍ CVSS 7.5 CWE-789
Sticky Notes Widget 3.0.6 contains a denial of service vulnerability that allows attackers to crash the application by pasting excessively long character strings into note fields. Attackers can generate a payload containing 350000 repeated characters and paste it twice into a new…
CVE-2021-47977
WordPress Plugin Anti-Malware Security and Bruteforce Firewall 4.20.59 contains a directory traversal vulnerability that
19:18 KSA
عالٍ CVSS 7.5 CWE-22
WordPress Plugin Anti-Malware Security and Bruteforce Firewall 4.20.59 contains a directory traversal vulnerability that allows unauthenticated attackers to read arbitrary files by manipulating the file parameter. Attackers can send requests to the duplicator_download action via …
CVE-2021-47975
ثغرة XSS مخزنة في WP Learn Manager 1.1.2 في معامل fieldtitle
19:18 KSA
عالٍ CVSS 7.2 CWE-79
ثغرة XSS مخزنة في WP Learn Manager 1.1.2 تسمح للمهاجمين غير المصرح لهم بحقن نصوص برمجية ضارة عبر معامل fieldtitle. يتم تنفيذ الكود الضار عندما يقوم المسؤولون بالوصول إلى واجهة ترتيب الحقول، مما قد يؤدي إلى سرقة الجلسات أو بيانات حساسة.
CVE-2021-47980
Fuel CMS 1.4.13 contains a blind SQL injection vulnerability that allows authenticated attackers to manipulate database
19:18 KSA
عالٍ CVSS 7.1 CWE-89
Fuel CMS 1.4.13 contains a blind SQL injection vulnerability that allows authenticated attackers to manipulate database queries by injecting SQL code through the 'col' parameter in the Activity Log interface. Attackers can send requests to the logs endpoint with malicious SQL pay…
CVE-2026-33839
Concurrent execution using shared resource with improper synchronization ('race condition') in Windows Win32K - GRFX all
22:16 KSA
عالٍ CVSS 7.0 CWE-362
Concurrent execution using shared resource with improper synchronization ('race condition') in Windows Win32K - GRFX allows an authorized attacker to elevate privileges locally.
CVE-2026-34331
Concurrent execution using shared resource with improper synchronization ('race condition') in Windows Win32K - GRFX all
01:00 KSA
عالٍ CVSS 7.0 CWE-362
Concurrent execution using shared resource with improper synchronization ('race condition') in Windows Win32K - GRFX allows an authorized attacker to elevate privileges locally.
CVE-2026-6008
تجاوز التحقق من الصلاحيات في DijiDemi عبر مفتاح يتحكم به المستخدم
02:48 KSA
متوسط CVSS 6.8 CWE-639
تحتوي هذه الثغرة على عيب في التحقق من الصلاحيات يسمح للمستخدمين بالتحكم في المفاتيح المستخدمة للمصادقة والتفويض. يمكن للمهاجمين استغلال هذا العيب للحصول على امتيازات أعلى من المسموح بها. الإصدارات المتأثرة تشمل DijiDemi من 4.5.12.1 إلى ما قبل 4.5.13.0.
CVE-2026-22706
Strapi is an open source headless content management system. In Strapi versions prior to 5.33.3, changing or resetting a
10:36 KSA
متوسط CVSS 6.5 CWE-613
Strapi is an open source headless content management system. In Strapi versions prior to 5.33.3, changing or resetting a user's password did not invalidate the user's existing refresh-token sessions by default. The refresh-token invalidation step in the users-permissions and admi…
CVE-2026-41888
ثغرة في أداة Distribution لحاويات تجاوز سياسة حذف العلامات (CVE-2026-41888)
02:48 KSA
متوسط CVSS 6.5 CWE-863
ثغرة في Distribution تسمح بحذف علامات الحاويات عند نقطة نهاية DELETE /v2//manifests/ حتى عندما يكون الحذف معطلاً. تؤثر الثغرة على الإصدارات السابقة للإصدار 3.1.1 وتم إصلاحها في هذا الإصدار.
CVE-2026-44440
ثغرة اجتياز المسار في ERPNext في الوصول للملفات
02:48 KSA
متوسط CVSS 6.5 CWE-22
ثغرة اجتياز المسار في ERPNext تسمح للمستخدمين المصرحين بقراءة ملفات عشوائية خارج المجلد المقصود. تؤثر الثغرة على الإصدارات السابقة للإصدار 15.101.1 و16.10.0 وتتطلب وصول مصرح للاستغلال.
CVE-2026-44445
ثغرة XXE في وحدة EDI بـ ERPNext تمكن الوصول المصرح إلى الملفات
02:48 KSA
متوسط CVSS 6.5 CWE-611
تؤثر هذه الثغرة على وحدة التبادل الإلكتروني للبيانات (EDI) في ERPNext وتسمح للمستخدمين المصرحين باستخراج ملفات حساسة من النظام. يمكن للمهاجمين قراءة ملفات التكوين وبيانات قاعدة البيانات والمفاتيح الخاصة من خلال معالجة كيانات XML الخارجية بشكل غير محدود.
CVE-2026-45008
phpMyFAQ before 4.1.2 contains a path traversal vulnerability in Client::deleteClientFolder that allows admins with INST
10:36 KSA
متوسط CVSS 6.5 CWE-73
phpMyFAQ before 4.1.2 contains a path traversal vulnerability in Client::deleteClientFolder that allows admins with INSTANCE_DELETE permission to delete arbitrary directories. Attackers can submit traversal sequences like https://../../../ in the client URL parameter to rec…
CVE-2026-46362
phpMyFAQ before 4.1.2 contains an authorization bypass vulnerability in AbstractAdministrationController::userHasPermiss
10:36 KSA
متوسط CVSS 6.5 CWE-863
phpMyFAQ before 4.1.2 contains an authorization bypass vulnerability in AbstractAdministrationController::userHasPermission() that fails to terminate execution after sending a forbidden response. Attackers can access all permission-protected admin pages by requesting their URLs a…
CVE-2026-4683
مكون Smartcat Translator for WPML - فحص قدرة مفقود في نقطة نهاية REST
02:48 KSA
متوسط CVSS 6.5 CWE-862
يفتقد مكون Smartcat Translator for WPML إلى فحص القدرة على نقطة نهاية REST routeData، مما يسمح للمهاجمين غير المصرح لهم بتعديل بيانات اعتماد Smartcat API بما في ذلك معرف الحساب ومفتاح API السري. يمكن للمهاجمين استخدام هذا الثغرة لاختطاف خدمة الترجمة أو إحداث رفض الخدمة.
CVE-2026-5193
تصعيد امتيازات في Essential Addons for Elementor عبر التحقق غير الكافي من الأدوار
02:48 KSA
متوسط CVSS 6.5 CWE-269
تحتوي الإضافة على خلل في التحقق من صلاحيات المستخدمين حيث تحظر فقط دور المسؤول ولا تتحقق من الأدوار الأخرى بشكل صحيح. يمكن للمستخدمين المصرحين بمستوى المؤلف أو أعلى استغلال هذا الخلل لإنشاء حسابات جديدة بصلاحيات محرر أو أعلى.
CVE-2026-5486
ثغرة حقن SQL في Unlimited Elements for Elementor عبر معامل filter_search
02:48 KSA
متوسط CVSS 6.5 CWE-89
يحتوي مكون Unlimited Elements for Elementor للإصدارات حتى 2.0.7 على ثغرة حقن SQL في إجراء AJAX get_cat_addons بسبب عدم كفاية تطهير المدخلات واستخدام وظائف هروب مهملة. يمكن للمهاجمين المصرح لهم بمستوى المساهم والأعلى استغلال هذه الثغرة من خلال معالجة معامل filter_search لتنفيذ است…
CVE-2026-6225
ثغرة حقن SQL في إضافة Taskbuilder لـ WordPress عبر معامل project_search
02:48 KSA
متوسط CVSS 6.5 CWE-89
ثغرة حقن SQL العمياء المعتمدة على الوقت في إضافة Taskbuilder للمشاريع والمهام في WordPress تسمح للمهاجمين المصرح لهم بمستوى المشترك فما فوق باستخراج البيانات الحساسة من قاعدة البيانات. تنتج الثغرة عن عدم كفاية الهروب من المعاملات المدخلة من قبل المستخدم وعدم استخدام جمل SQL معدة …
CVE-2026-6670
ثغرة اجتياز المسار في إضافة Media Sync لـ WordPress (CVE-2026-6670)
02:48 KSA
متوسط CVSS 6.5 CWE-22
ثغرة اجتياز المسار في إضافة Media Sync لـ WordPress تسمح للمهاجمين المصرح لهم بمستوى المؤلف أو أعلى بالوصول إلى الملفات خارج مجلد التحميل المقصود. تنتج الثغرة عن عدم كفاية التحقق من صحة مسارات الملفات المدخلة من قبل المستخدم، مما يسمح باجتياز تسلسلات المجلدات.
CVE-2020-37233
WordPress Plugin Buddypress 6.2.0 contains a persistent cross-site scripting vulnerability that allows authenticated att
01:16 KSA
متوسط CVSS 6.4 CWE-79
WordPress Plugin Buddypress 6.2.0 contains a persistent cross-site scripting vulnerability that allows authenticated attackers with moderator privileges to inject malicious script code through the figure parameter in wp:html blocks. Attackers can inject iframe elements with event…
CVE-2020-37235
WordPress Theme Wibar 1.1.8 contains a stored cross-site scripting vulnerability in the Brand component that allows auth
01:16 KSA
متوسط CVSS 6.4 CWE-79
WordPress Theme Wibar 1.1.8 contains a stored cross-site scripting vulnerability in the Brand component that allows authenticated users to inject malicious scripts by manipulating the Logo URL parameter. Attackers with editor, administrator, contributor, or author privileges can …
CVE-2020-37236
NewsLister contains an authenticated persistent cross-site scripting vulnerability that allows authenticated administrat
01:16 KSA
متوسط CVSS 6.4 CWE-79
NewsLister contains an authenticated persistent cross-site scripting vulnerability that allows authenticated administrators to inject malicious scripts through the title parameter in the news addition interface. Attackers can inject JavaScript payloads via the title field in the …
CVE-2020-37237
Composr CMS 10.0.34 contains a persistent cross-site scripting vulnerability that allows authenticated administrators to
01:16 KSA
متوسط CVSS 6.4 CWE-79
Composr CMS 10.0.34 contains a persistent cross-site scripting vulnerability that allows authenticated administrators to inject malicious scripts through the banner management interface. Attackers with admin credentials can inject XSS payloads in the Description field of the Add …
CVE-2020-37238
CMS Made Simple 2.2.15 contains a stored cross-site scripting vulnerability that allows authenticated users with Content
01:16 KSA
متوسط CVSS 6.4 CWE-79
CMS Made Simple 2.2.15 contains a stored cross-site scripting vulnerability that allows authenticated users with Content Manager access to inject malicious scripts through SVG file uploads. Attackers can upload SVG files containing embedded JavaScript to the file manager, which e…
CVE-2020-37240
ثغرة XSS مخزنة في نظام إدارة الطوابير 4.0.0 في حقول إنشاء المستخدمين
01:16 KSA
متوسط CVSS 6.4 CWE-79
نظام إدارة الطوابير الإصدار 4.0.0 يعاني من ثغرة XSS مخزنة تسمح للمسؤولين المصرحين بحقن كود JavaScript ضار في حقول إنشاء المستخدمين. يتم تنفيذ الكود المحقون عند عرض صفحة قائمة المستخدمين، مما قد يؤدي إلى سرقة جلسات العمل أو بيانات حساسة.
CVE-2021-47957
ثغرة XSS مخزنة في إضافة Cookie Law Bar 1.2.1 في حقل رسالة الشريط
01:16 KSA
متوسط CVSS 6.4 CWE-79
ثغرة XSS المخزنة في إضافة Cookie Law Bar تسمح للمهاجمين المصرحين بحقن نصوص برمجية ضارة عبر حقل رسالة الشريط في صفحة إعدادات الإضافة. تُنفذ هذه النصوص الضارة في متصفحات جميع مستخدمي الموقع مما يؤدي إلى سرقة ملفات تعريف الارتباط والبيانات الحساسة. الثغرة تتطلب وصول مصرح به لكن تؤثر…
CVE-2021-47962
Savsoft Quiz 5.0 contains a persistent cross-site scripting vulnerability in the user account settings page that allows
10:36 KSA
متوسط CVSS 6.4 CWE-79
Savsoft Quiz 5.0 contains a persistent cross-site scripting vulnerability in the user account settings page that allows authenticated attackers to inject malicious HTML and JavaScript code. Attackers can inject script payloads into user profile fields at the edit_user endpoint, w…
CVE-2021-47968
Podcast Generator 3.1 contains a persistent cross-site scripting vulnerability that allows authenticated attackers to in
10:36 KSA
متوسط CVSS 6.4 CWE-79
Podcast Generator 3.1 contains a persistent cross-site scripting vulnerability that allows authenticated attackers to inject malicious scripts by submitting unfiltered JavaScript code in the long_description parameter. Attackers can inject script tags through episode creation or …
CVE-2026-2311
IBM i 7.6, 7.5, 7.4, 7.3, and 7.2 s vulnerable to privilege escalation caused by an invalid IBM i Web Administration GUI
04:54 KSA
متوسط CVSS 6.4 CWE-284
IBM i 7.6, 7.5, 7.4, 7.3, and 7.2 s vulnerable to privilege escalation caused by an invalid IBM i Web Administration GUI authorization check.  A malicious actor could cause user-controlled code to run with administrator privilege.
CVE-2026-2352
The Autoptimize plugin for WordPress is vulnerable to Stored Cross-Site Scripting via the 'ao_post_preload' meta value i
05:45 KSA
متوسط CVSS 6.4 CWE-79
The Autoptimize plugin for WordPress is vulnerable to Stored Cross-Site Scripting via the 'ao_post_preload' meta value in all versions up to, and including, 3.1.14. This is due to insufficient input sanitization in the `ao_metabox_save()` function and missing output escaping when…
CVE-2026-2362
The WP Accessibility plugin for WordPress is vulnerable to Stored DOM-Based Cross-Site Scripting via the 'alt' attribute
04:30 KSA
متوسط CVSS 6.4 CWE-79
The WP Accessibility plugin for WordPress is vulnerable to Stored DOM-Based Cross-Site Scripting via the 'alt' attribute of images processed by the "Long Description UI" feature in all versions up to, and including, 2.3.1. This is due to the plugin's JavaScript retrieving the alt…
CVE-2026-2383
The Simple Download Monitor plugin for WordPress is vulnerable to Stored Cross-Site Scripting via custom field in all ve
04:30 KSA
متوسط CVSS 6.4 CWE-79
The Simple Download Monitor plugin for WordPress is vulnerable to Stored Cross-Site Scripting via custom field in all versions up to, and including, 4.0.5 due to insufficient input sanitization and output escaping. This makes it possible for authenticated attackers, with Contribu…
CVE-2026-2434
The Pz-LinkCard plugin for WordPress is vulnerable to Stored Cross-Site Scripting via the 'blogcard' shortcode attribute
07:18 KSA
متوسط CVSS 6.4 CWE-79
The Pz-LinkCard plugin for WordPress is vulnerable to Stored Cross-Site Scripting via the 'blogcard' shortcode attributes in all versions up to, and including, 2.5.8.1 due to insufficient input sanitization and output escaping. This makes it possible for authenticated attackers, …
CVE-2026-2437
The WP Travel Engine – Tour Booking Plugin – Tour Operator Software plugin for WordPress is vulnerable to Stored Cross-S
01:31 KSA
متوسط CVSS 6.4 CWE-79
The WP Travel Engine – Tour Booking Plugin – Tour Operator Software plugin for WordPress is vulnerable to Stored Cross-Site Scripting via the plugin's 'wte_trip_tax' shortcode in all versions up to, and including, 6.7.5 due to insufficient input sanitization and output escaping o…
CVE-2026-2480
The WP Shortcodes Plugin — Shortcodes Ultimate plugin for WordPress is vulnerable to Stored Cross-Site Scripting via the
09:57 KSA
متوسط CVSS 6.4 CWE-79
The WP Shortcodes Plugin — Shortcodes Ultimate plugin for WordPress is vulnerable to Stored Cross-Site Scripting via the 'max_width' attribute of the `su_box` shortcode in all versions up to, and including, 7.4.10 due to insufficient input sanitization and output escaping on user…
CVE-2026-2481
The Beaver Builder Page Builder – Drag and Drop Website Builder plugin for WordPress is vulnerable to Stored Cross-Site
01:10 KSA
متوسط CVSS 6.4 CWE-79
The Beaver Builder Page Builder – Drag and Drop Website Builder plugin for WordPress is vulnerable to Stored Cross-Site Scripting via the 'settings[js]' parameter in versions up to, and including, 2.10.1.1 due to insufficient input sanitization and output escaping. This makes it …
CVE-2026-2600
The ElementsKit Elementor Addons and Templates plugin for WordPress is vulnerable to Stored Cross-Site Scripting via the
01:31 KSA
متوسط CVSS 6.4 CWE-79
The ElementsKit Elementor Addons and Templates plugin for WordPress is vulnerable to Stored Cross-Site Scripting via the 'ekit_tab_title' parameter in the Simple Tab widget in all versions up to, and including, 3.7.9 due to insufficient input sanitization and output escaping on u…
CVE-2026-2602
The Twentig plugin for WordPress is vulnerable to Stored Cross-Site Scripting via the 'featuredImageSizeWidth' parameter
12:52 KSA
متوسط CVSS 6.4 CWE-79
The Twentig plugin for WordPress is vulnerable to Stored Cross-Site Scripting via the 'featuredImageSizeWidth' parameter in versions up to, and including, 1.9.7 due to insufficient input sanitization and output escaping. This makes it possible for authenticated attackers, with Co…
CVE-2026-2840
ثغرة Stored XSS في إضافة Email Encoder لـ WordPress عبر اختصار eeb_mailto
04:09 KSA
متوسط CVSS 6.4 CWE-79
تحتوي إضافة Email Encoder للووردبريس على ثغرة Stored XSS في اختصار 'eeb_mailto' تسمح للمهاجمين المصرحين على مستوى المساهم أو أعلى بحقن نصوص برمجية ضارة. تُنفذ هذه النصوص عندما يصل المستخدمون إلى الصفحات المصابة، مما قد يعرض أمان الموقع وبيانات المستخدمين للخطر.
CVE-2026-28558
ثغرة XSS مخزنة في wpForo 2.4.14 عبر رفع صور SVG
02:48 KSA
متوسط CVSS 6.4 CWE-79
تحتوي ثغرة CVE-2026-28558 على ثغرة XSS مخزنة في منتدى wpForo الإصدار 2.4.14 حيث يمكن للمستخدمين المصرحين رفع ملفات SVG تحتوي على معالجات أحداث JavaScript أو حقن CSS. عند عرض ملف المهاجم الشخصي، يتم تنفيذ الكود الضار في متصفحات جميع المستخدمين الآخرين، مما يؤدي إلى سرقة الجلسات أو…
CVE-2026-2868
ثغرة Stored XSS في إضافة Gutenverse عبر معامل separatorIconSVG
10:36 KSA
متوسط CVSS 6.4 CWE-79
تحتوي إضافة Gutenverse – Ultimate WordPress FSE Blocks على ثغرة Stored XSS في معامل 'separatorIconSVG' بسبب عدم كفاية تنقية المدخلات والتحقق من المخرجات. يمكن للمهاجمين المصرحين بمستوى المساهم أو أعلى حقن برامج نصية ضارة تُنفذ عند وصول المستخدمين إلى الصفحات المصابة.
CVE-2026-2948
The Gutenverse – Ultimate WordPress FSE Blocks Addons & Ecosystem plugin for WordPress is vulnerable to Server-Side Requ
10:36 KSA
متوسط CVSS 6.4 CWE-918
The Gutenverse – Ultimate WordPress FSE Blocks Addons & Ecosystem plugin for WordPress is vulnerable to Server-Side Request Forgery in versions up to, and including, 3.5.3 via the import_images() function. This makes it possible for authenticated attackers, with contributor-level…
CVE-2026-2988
The Blubrry PowerPress plugin for WordPress is vulnerable to Stored Cross-Site Scripting via the 'powerpress' and 'podca
12:16 KSA
متوسط CVSS 6.4 CWE-79
The Blubrry PowerPress plugin for WordPress is vulnerable to Stored Cross-Site Scripting via the 'powerpress' and 'podcast' shortcodes in versions up to, and including, 11.15.15 due to insufficient input sanitization and output escaping. This makes it possible for authenticated a…
CVE-2026-3004
The Snow Monkey Blocks plugin for WordPress is vulnerable to Stored Cross-Site Scripting via the ‘data-slick' attribute
06:19 KSA
متوسط CVSS 6.4 CWE-79
The Snow Monkey Blocks plugin for WordPress is vulnerable to Stored Cross-Site Scripting via the ‘data-slick' attribute in all versions up to, and including, 24.1.11 due to insufficient input sanitization and output escaping. This makes it possible for authenticated attackers, wi…
CVE-2026-33246
ثغرة تزوير رأس Nats-Request-Info في خادم NATS
11:08 KSA
متوسط CVSS 6.4 CWE-287
تسمح هذه الثغرة للمهاجمين بتزوير رأس Nats-Request-Info في خادم NATS، مما قد يؤدي إلى انتحال الهوية والوصول غير المصرح به. المشكلة تؤثر على اتصالات leafnode التي لا تثق بالكامل ما لم يتم جسر حساب النظام. العملاء الذين يعتمدون على هذا الرأس للمصادقة دون التحقق المناسب معرضون للخطر.
CVE-2026-3333
The MinhNhut Link Gateway plugin for WordPress is vulnerable to Stored Cross-Site Scripting via the plugin's 'linkgate'
05:45 KSA
متوسط CVSS 6.4 CWE-79
The MinhNhut Link Gateway plugin for WordPress is vulnerable to Stored Cross-Site Scripting via the plugin's 'linkgate' shortcode in all versions up to, and including, 3.6.1 due to insufficient input sanitization and output escaping on user supplied attributes. This makes it poss…
CVE-2026-3346
IBM Langflow Desktop 1.6.0 through 1.8.4 Lanflow is vulnerable to stored cross-site scripting. This vulnerability allows
04:54 KSA
متوسط CVSS 6.4 CWE-89
IBM Langflow Desktop 1.6.0 through 1.8.4 Lanflow is vulnerable to stored cross-site scripting. This vulnerability allows an authenticated user to embed arbitrary JavaScript code in the Web UI thus altering the intended functionality potentially leading to credentials disclosure w…
CVE-2026-3350
The Image Alt Text Manager plugin for WordPress is vulnerable to Stored Cross-Site Scripting via the post title in all v
05:45 KSA
متوسط CVSS 6.4 CWE-79
The Image Alt Text Manager plugin for WordPress is vulnerable to Stored Cross-Site Scripting via the post title in all versions up to, and including, 1.8.2. This is due to insufficient input sanitization and output escaping when dynamically generating image alt and title attribut…
CVE-2026-3361
The WP Store Locator plugin for WordPress is vulnerable to Stored Cross-Site Scripting via the 'wpsl_address' post meta
14:46 KSA
متوسط CVSS 6.4 CWE-79
The WP Store Locator plugin for WordPress is vulnerable to Stored Cross-Site Scripting via the 'wpsl_address' post meta value in versions up to, and including, 2.2.261 due to insufficient input sanitization and output escaping. This makes it possible for authenticated attackers, …
CVE-2026-3427
The Yoast SEO – Advanced SEO with real-time guidance and built-in AI plugin for WordPress is vulnerable to Stored Cross-
09:54 KSA
متوسط CVSS 6.4 CWE-79
The Yoast SEO – Advanced SEO with real-time guidance and built-in AI plugin for WordPress is vulnerable to Stored Cross-Site Scripting via the the `jsonText` block attribute in all versions up to, and including, 27.1.1 due to insufficient input sanitization and output escaping. T…
CVE-2026-34800
ثغرة XSS مخزنة في جدار حماية Endian في معامل NAME بـ uplinkeditor.cgi
21:30 KSA
متوسط CVSS 6.4 CWE-79
ثغرة XSS المخزنة في Endian Firewall تسمح للمهاجمين المصرحين بحقن JavaScript ضار عبر معامل NAME في صفحة محرر الارتباط. يتم تنفيذ الكود المُحقون عند عرض المستخدمين الآخرين للصفحة المتأثرة، مما يعرض بيانات الجلسة والمعلومات الحساسة للخطر.
CVE-2026-34801
Endian Firewall version 3.3.25 and prior allow stored cross-site scripting (XSS) via the remark parameter to /manage/dhc
21:30 KSA
متوسط CVSS 6.4 CWE-79
Endian Firewall version 3.3.25 and prior allow stored cross-site scripting (XSS) via the remark parameter to /manage/dhcp/fixed_leases/. An authenticated attacker can inject arbitrary JavaScript that is stored and executed when other users view the affected page.
CVE-2026-34812
ثغرة XSS مخزنة في Endian Firewall في معامل mimetypes بـ proxypolicy.cgi
21:30 KSA
متوسط CVSS 6.4 CWE-79
ثغرة XSS مخزنة في جدار حماية Endian تسمح للمهاجمين المصرح لهم بحقن كود JavaScript ضار عبر معامل mimetypes في سكريبت proxypolicy.cgi. يتم تخزين الكود المحقون وتنفيذه عندما يعرض المستخدمون الآخرون الصفحة المتأثرة. تؤثر الثغرة على جميع الإصدارات حتى 3.3.25 وتتطلب ترقية فورية.
CVE-2026-34813
Endian Firewall version 3.3.25 and prior allow stored cross-site scripting (XSS) via the user parameter to /cgi-bin/prox
21:30 KSA
متوسط CVSS 6.4 CWE-79
Endian Firewall version 3.3.25 and prior allow stored cross-site scripting (XSS) via the user parameter to /cgi-bin/proxyuser.cgi. An authenticated attacker can inject arbitrary JavaScript that is stored and executed when other users view the affected page.
CVE-2026-34815
Endian Firewall version 3.3.25 and prior allow stored cross-site scripting (XSS) via the DOMAIN parameter to /cgi-bin/sm
21:30 KSA
متوسط CVSS 6.4 CWE-79
Endian Firewall version 3.3.25 and prior allow stored cross-site scripting (XSS) via the DOMAIN parameter to /cgi-bin/smtpdomains.cgi. An authenticated attacker can inject arbitrary JavaScript that is stored and executed when other users view the affected page.
CVE-2026-34817
Endian Firewall version 3.3.25 and prior allow stored cross-site scripting (XSS) via the ADDRESS BCC parameter to /cgi-b
21:30 KSA
متوسط CVSS 6.4 CWE-79
Endian Firewall version 3.3.25 and prior allow stored cross-site scripting (XSS) via the ADDRESS BCC parameter to /cgi-bin/smtprouting.cgi. An authenticated attacker can inject arbitrary JavaScript that is stored and executed when other users view the affected page.
CVE-2026-34818
ثغرة XSS مخزنة في جدار حماية Endian في معامل ملاحظة DNS Masquerading
21:30 KSA
متوسط CVSS 6.4 CWE-79
ثغرة XSS مخزنة في جدار حماية Endian تؤثر على الإصدار 3.3.25 وما قبله في وحدة إدارة DNS المحلية. يمكن للمهاجمين المصرح لهم بالوصول الإداري حقن رموز JavaScript ضارة عبر معامل الملاحظة التي يتم تخزينها وتنفيذها عند زيارة المستخدمين الآخرين للصفحة. هذا يمكن أن يؤدي إلى سرقة الجلسات و…
CVE-2026-34819
ثغرة XSS مخزنة في تكوين عميل OpenVPN بجدار حماية Endian
21:30 KSA
متوسط CVSS 6.4 CWE-79
تسمح هذه الثغرة للمستخدمين المصرحين بحقن رمز JavaScript ضار في معامل REMARK الذي يتم تخزينه في قاعدة البيانات. عند وصول مستخدمين آخرين إلى صفحة تكوين عميل OpenVPN، يتم تنفيذ الرمز الضار في متصفحاتهم، مما قد يؤدي إلى سرقة الجلسات أو بيانات اعتماد المسؤول.
CVE-2026-34820
ثغرة XSS مخزنة في إدارة IPSec بجدار حماية Endian 3.3.25
21:30 KSA
متوسط CVSS 6.4 CWE-79
ثغرة XSS المخزنة في جدار حماية Endian تسمح للمهاجمين المصرحين بحقن كود JavaScript ضار في معامل الملاحظات بواجهة إدارة IPSec. يتم تخزين الكود الضار وتنفيذه تلقائياً عند وصول المستخدمين الآخرين إلى الصفحة المتأثرة. قد يؤدي هذا إلى سرقة ملفات تعريف الارتباط والجلسات أو تنفيذ إجراءات…
CVE-2026-34821
ثغرة XSS مخزنة في إدارة مستخدمي المصادقة VPN بجدار حماية Endian
21:30 KSA
متوسط CVSS 6.4 CWE-79
تسمح ثغرة XSS المخزنة في جدار حماية Endian بحقن رمز JavaScript عبر معامل الملاحظة في صفحة إدارة مستخدمي VPN. يمكن لمهاجم مصرح له تخزين رمز ضار يتم تنفيذه تلقائياً عندما يزور مسؤولون آخرون الصفحة المتأثرة. قد يؤدي هذا إلى سرقة بيانات الاعتماد أو جلسات العمل أو تنفيذ إجراءات غير مص…
CVE-2026-34822
ثغرة XSS مخزنة في واجهة إدارة الشهادات في جدار حماية Endian
21:30 KSA
متوسط CVSS 6.4 CWE-79
تسمح ثغرة XSS المخزنة في واجهة إدارة شهادات Endian Firewall للمهاجمين المصرحين بحقن كود JavaScript ضار عبر معامل new_cert_name. يتم تنفيذ الكود المحقون عندما يعرض المستخدمون الآخرون الصفحة المتأثرة، مما قد يؤدي إلى سرقة الجلسات أو البيانات الحساسة.
CVE-2026-34823
ثغرة XSS مخزنة في واجهة إدارة كلمات المرور بجدار حماية Endian
21:30 KSA
متوسط CVSS 6.4 CWE-79
يؤثر هذا الضعف على جدار حماية Endian الإصدار 3.3.25 وما قبله، حيث يسمح لمستخدم مصرح بحقن كود JavaScript ضار عبر معامل الملاحظة في واجهة إدارة كلمات المرور. يتم تخزين الكود المحقون وتنفيذه عندما يزور مستخدمون آخرون الصفحة المتأثرة، مما يمكن المهاجم من سرقة الجلسات أو بيانات اعتماد…
CVE-2026-35054
ثغرة XSS المخزنة في رموز BB في XenForo (CVE-2026-35054)
09:57 KSA
متوسط CVSS 6.4 CWE-79
تؤثر هذه الثغرة على منصات XenForo المستخدمة في المنتديات والمجتمعات عبر الإنترنت. يمكن للمهاجمين استخدام رموز BB المصنعة لتنفيذ كود JavaScript في متصفحات المستخدمين الآخرين. قد يؤدي هذا إلى سرقة الجلسات والبيانات الحساسة والتحكم في الحسابات.
CVE-2026-35057
XenForo before 2.3.10 and before 2.2.19 is vulnerable to stored cross-site scripting (XSS) in structured text mentions,
09:57 KSA
متوسط CVSS 6.4 CWE-79
XenForo before 2.3.10 and before 2.2.19 is vulnerable to stored cross-site scripting (XSS) in structured text mentions, primarily affecting legacy profile post content. An attacker can inject malicious scripts through crafted mentions that are stored and executed when other users…
CVE-2026-3694
ثغرة Stored XSS في مكون Bold Page Builder لـ WordPress في Shortcode bt_bb_button
02:48 KSA
متوسط CVSS 6.4 CWE-79
ثغرة Stored XSS في مكون Bold Page Builder تسمح للمستخدمين المصرحين بمستوى المساهم فما فوق بحقن نصوص برمجية ضارة عبر سمة النص في shortcode bt_bb_button. تُنفذ البرامج النصية المحقونة عند وصول أي مستخدم إلى الصفحة المتأثرة، مما قد يؤدي إلى سرقة جلسات العمل أو بيانات المستخدمين.
CVE-2026-3998
ثغرة XSS المخزنة في إضافة WM JqMath لـ WordPress عبر خاصية Style
02:16 KSA
متوسط CVSS 6.4 CWE-79
ثغرة XSS المخزنة في إضافة WM JqMath للووردبريس تسمح للمستخدمين المصرح لهم بمستوى المساهم فما فوق بحقن نصوص برمجية ضارة عبر خاصية style في اختصار jqmath. تنفذ الدالة generate_jqMathFormula() قيمة الخاصية مباشرة في سمة HTML style دون تطبيق أي وظائف هروب أمنية. يؤدي هذا إلى تنفيذ ال…
CVE-2026-4005
ثغرة Stored XSS في مكون Coachific Shortcode عبر خاصية userhash
02:16 KSA
متوسط CVSS 6.4 CWE-79
يحتوي مكون Coachific Shortcode للووردبريس على ثغرة Stored XSS في خاصية 'userhash' حيث يتم استخدام sanitize_text_field() الذي يزيل علامات HTML لكنه لا يهرب الأحرف المهمة في سياق سلسلة JavaScript. يتم إدراج القيمة المعالجة مباشرة في سلسلة JavaScript داخل علامة script بدون هروب خاص …
CVE-2026-4011
ثغرة Stored XSS في إضافة Power Charts Lite لـ WordPress عبر معامل معرّف الاختصار
02:16 KSA
متوسط CVSS 6.4 CWE-79
ثغرة Stored Cross-Site Scripting في إضافة Power Charts Lite للووردبريس تؤثر على جميع الإصدارات حتى 0.1.0. تحدث الثغرة في دالة pc_shortcode() حيث يتم دمج معامل 'id' مباشرة في سمة فئة عنصر HTML div دون تصفية أو هروب. يمكن للمهاجمين المصرح لهم على مستوى المساهم حقن نصوص برمجية تعسفي…
CVE-2026-4025
ثغرة Stored XSS في إضافة PrivateContent Free لـ WordPress عبر خاصية align
01:10 KSA
متوسط CVSS 6.4 CWE-79
تحتوي إضافة PrivateContent Free لـ WordPress على ثغرة Stored XSS في اختصار [pc-login-form] حيث لا يتم تطهير قيمة خاصية 'align' بشكل صحيح قبل إدراجها في سمة HTML. يمكن للمهاجمين المصرحين بمستوى Contributor أو أعلى حقن كود JavaScript ضار يتم تنفيذه عند زيارة أي مستخدم للصفحة المصاب…
CVE-2026-4072
The WordPress PayPal Donation plugin for WordPress is vulnerable to Stored Cross-Site Scripting via the 'donate' shortco
23:36 KSA
متوسط CVSS 6.4 CWE-79
The WordPress PayPal Donation plugin for WordPress is vulnerable to Stored Cross-Site Scripting via the 'donate' shortcode in all versions up to, and including, 1.01. This is due to insufficient input sanitization and output escaping on user-supplied shortcode attributes such as …
CVE-2026-4076
The Slider Bootstrap Carousel plugin for WordPress is vulnerable to Stored Cross-Site Scripting via the 'category' and '
21:40 KSA
متوسط CVSS 6.4 CWE-79
The Slider Bootstrap Carousel plugin for WordPress is vulnerable to Stored Cross-Site Scripting via the 'category' and 'template' shortcode attributes in all versions up to and including 1.0.7. This is due to insufficient input sanitization and output escaping on user-supplied sh…
CVE-2026-4077
The Ecover Builder For Dummies plugin for WordPress is vulnerable to Stored Cross-Site Scripting via the 'id' parameter
23:36 KSA
متوسط CVSS 6.4 CWE-79
The Ecover Builder For Dummies plugin for WordPress is vulnerable to Stored Cross-Site Scripting via the 'id' parameter of the 'ecover' shortcode in all versions up to and including 1.0. This is due to insufficient input sanitization and output escaping on the user-supplied 'id' …
CVE-2026-4078
The ITERAS plugin for WordPress is vulnerable to Stored Cross-Site Scripting via multiple shortcodes (iteras-ordering, i
14:32 KSA
متوسط CVSS 6.4 CWE-79
The ITERAS plugin for WordPress is vulnerable to Stored Cross-Site Scripting via multiple shortcodes (iteras-ordering, iteras-signup, iteras-paywall-login, iteras-selfservice) in all versions up to and including 1.8.2. This is due to insufficient input sanitization and output esc…
CVE-2026-4082
The ER Swiffy Insert plugin for WordPress is vulnerable to Stored Cross-Site Scripting via the [swiffy] shortcode in all
21:40 KSA
متوسط CVSS 6.4 CWE-79
The ER Swiffy Insert plugin for WordPress is vulnerable to Stored Cross-Site Scripting via the [swiffy] shortcode in all versions up to and including 1.0.0. This is due to insufficient input sanitization and output escaping on user-supplied shortcode attributes ('n', 'w', 'h'). T…
CVE-2026-4083
ثغرة XSS المخزنة في إضافة Scoreboard for HTML5 Games Lite عبر Shortcode
05:45 KSA
متوسط CVSS 6.4 CWE-79
تحتوي إضافة Scoreboard for HTML5 Games Lite على ثغرة XSS مخزنة في دالة sfhg_shortcode() التي تسمح بإضافة سمات HTML عشوائية إلى عنصر iframe. قائمة الحظر الضعيفة التي تحتوي على أربع أسماء سمات فقط لا تمنع حقن معالجات أحداث JavaScript مثل onfocus و onmouseover. يمكن للمهاجمين استغلا…
CVE-2026-4084
ثغرة XSS المخزنة في إضافة fyyd Podcast Shortcodes عبر خصائص Shortcode
23:36 KSA
متوسط CVSS 6.4 CWE-79
تحتوي إضافة fyyd podcast shortcodes للووردبريس على ثغرات XSS مخزنة في خصائص shortcode مثل 'color' و'podcast_id' و'podcast_slug'. يمكن للمهاجمين المصرح لهم على مستوى المساهم وما فوق حقن نصوص برمجية تعسفية تُنفذ عند وصول المستخدمين إلى الصفحات المصابة.
CVE-2026-4085
ثغرة Stored XSS في إضافة Easy Social Photos Gallery لـ WordPress عبر wrapper_class
21:40 KSA
متوسط CVSS 6.4 CWE-79
تحتوي إضافة Easy Social Photos Gallery على ثغرة Stored XSS في سمة wrapper_class الخاصة بـ shortcode my-instagram-feed. يمكن للمهاجمين المصرح لهم على مستوى المساهم أو أعلى حقن نصوص برمجية ضارة تُنفذ عند وصول المستخدمين إلى الصفحات المصابة. الثغرة ناتجة عن استخدام sanitize_text_fie…
CVE-2026-4086
ثغرة XSS المخزنة في إضافة WP Random Button عبر سمات Shortcode
23:36 KSA
متوسط CVSS 6.4 CWE-79
ثغرة XSS المخزنة في إضافة WP Random Button تسمح للمستخدمين المصرحين بمستوى المساهم أو أعلى بحقن نصوص برمجية ضارة عبر سمات shortcode. تنشأ الثغرة من عدم تنظيف المدخلات بشكل صحيح في معاملات 'cat' و 'nocat' و 'text' التي يتم تنفيذها عند عرض الصفحات.
CVE-2026-4088
ثغرة XSS المخزنة في إضافة Switch CTA Box لـ WordPress عبر Shortcode
21:40 KSA
متوسط CVSS 6.4 CWE-79
تحتوي إضافة Switch CTA Box للووردبريس على ثغرة XSS مخزنة في shortcode 'wppw_cta_box' حيث لا يتم تنظيف المدخلات بشكل كافٍ أو الهروب من القيم المخزنة في بيانات المنشور الوصفية. يمكن للمستخدمين المصرح لهم على مستوى المساهم وما فوق حقن نصوص برمجية ضارة تُنفذ عند وصول أي مستخدم إلى ال…
CVE-2026-4089
ثغرة XSS المخزنة في مكون Twittee Text Tweet عبر خصائص Shortcode
21:40 KSA
متوسط CVSS 6.4 CWE-79
يحتوي مكون Twittee Text Tweet للووردبريس على ثغرات XSS مخزنة في جميع الإصدارات حتى 1.0.8 بسبب عدم كفاية تنظيف المدخلات والهروب من المخرجات. تستخدم الدالة ttt_twittee_tweeter() extract() لسحب خصائص shortcode ثم تدمجها مباشرة في مخرجات HTML دون أي هروب، مما يسمح للمهاجمين بحقن معال…
CVE-2026-41174
绕过 Traefik Kubernetes CRD 跨命名空间隔离的链式中间件漏洞
00:54 KSA
متوسط CVSS 6.4 CWE-653
يحتوي Traefik على ثغرة في مزود Kubernetes CRD حيث لا يتم تطبيق قيود عزل مساحة الأسماء بشكل صحيح على مراجع البرامج الوسيطة المتداخلة داخل كائنات Chain عندما يكون allowCrossNamespace=false. يمكن لمستخدم لديه أذونات لإنشاء أو تحديث CRDs في مساحة الأسماء الخاصة به استغلال هذا للوصول …
CVE-2026-4125
ثغرة XSS المخزنة في إضافة WPMK Block عبر سمة Class في الرموز المختصرة
21:40 KSA
متوسط CVSS 6.4 CWE-79
ثغرة XSS المخزنة في إضافة WPMK Block للووردبريس تسمح للمهاجمين المصرح لهم بمستوى المساهم فما فوق بحقن رموز ويب عشوائية عبر سمة class في الرموز المختصرة. تحدث الثغرة بسبب عدم كفاية تنقية المدخلات والتحقق من المخرجات في دالة wpmk_block_shortcode().
CVE-2026-5243
ثغرة XSS مخزنة في Plus Addons for Elementor عبر أداة Navigation Menu Lite
02:48 KSA
متوسط CVSS 6.4 CWE-79
ثغرة XSS مخزنة في إضافة Plus Addons for Elementor تسمح للمستخدمين المصرح لهم بمستوى المساهم أو أعلى بحقن نصوص برمجية عشوائية عبر معامل menu_hover_click في أداة Navigation Menu Lite. تنتج الثغرة عن عدم كفاية تنظيف المدخلات والتحقق من المخرجات، مما يسمح بتنفيذ البرامج النصية الضارة…
CVE-2026-5361
ثغرة XSS مخزنة في إضافة Envira Gallery Lite عبر REST API
02:48 KSA
متوسط CVSS 6.4 CWE-79
تحتوي إضافة Envira Gallery Lite على ثغرة XSS مخزنة في واجهة REST API حيث لا يتم تنظيف معامل الأسهم بشكل صحيح. يستخدم الكود دالة esc_attr() المخصصة لسياق HTML بدلاً من سياق JavaScript، مما يسمح بحقن تعبيرات JavaScript. يمكن للمهاجمين المصرح لهم بمستوى المؤلف أو أعلى حقن نصوص برمجي…
CVE-2026-6174
ثغرة Stored XSS في إضافة CC Child Pages لـ WordPress عبر معامل More
02:48 KSA
متوسط CVSS 6.4 CWE-79
تحتوي إضافة CC Child Pages لـ WordPress على ثغرة Stored XSS في معامل 'more' بسبب عدم كفاية تنظيف المدخلات والتحقق من المخرجات. يمكن للمهاجمين المصرح لهم على مستوى المساهم أو أعلى حقن نصوص برمجية عشوائية تُنفذ عند وصول المستخدمين إلى الصفحات المصابة.
CVE-2026-6252
ثغرة XSS المخزنة في مكون Meta Field Block لـ WordPress عبر خاصية tagName
02:48 KSA
متوسط CVSS 6.4 CWE-79
يسمح هذا الضعف للمهاجمين المصرح لهم بمستوى المساهم أو أعلى بحقن برامج نصية عشوائية عبر خاصية tagName في مكون Meta Field Block. تُخزن البرامج النصية المحقونة في قاعدة البيانات وتُنفذ تلقائياً عند وصول أي مستخدم للصفحة المتأثرة.
CVE-2026-6415
ثغرة Stored XSS في إضافة Advanced Custom Fields: Font Awesome
02:48 KSA
متوسط CVSS 6.4 CWE-79
تحتوي إضافة Advanced Custom Fields: Font Awesome للإصدارات حتى 5.0.2 على ثغرة Stored XSS ناتجة عن التحقق غير الكافي من صحة قيم حقول JSON وبناء HTML غير آمن في دالة update_preview() JavaScript. يمكن للمهاجمين المصرح لهم بمستوى المشترك وما فوق حقن نصوص برمجية عشوائية ستنفذ عند وصول…
CVE-2026-6504
ثغرة XSS المخزنة في إضافة Royal Elementor عبر معامل title_tag
02:48 KSA
متوسط CVSS 6.4 CWE-79
تحتوي إضافة Royal Elementor Addons and Templates على ثغرة Stored XSS في معامل 'title_tag' بسبب عدم كفاية تنظيف المدخلات والتحقق من المخرجات. يمكن للمهاجمين المصرحين على مستوى المساهم أو أعلى حقن برامج نصية ضارة تُنفذ عند وصول أي مستخدم إلى الصفحة المصابة.
CVE-2026-6646
ثغرة XSS مخزنة في ثيم The7 لـ WordPress في اختصار dt_default_button
02:48 KSA
متوسط CVSS 6.4 CWE-79
ثغرة XSS مخزنة في ثيم The7 الشهير لـ WordPress تسمح للمستخدمين المصرحين بمستوى المساهم وأعلى بحقن نصوص برمجية عشوائية. تحدث الثغرة بسبب عدم كفاية تنظيف المدخلات والهروب من المخرجات في مكون العنوان لمعامل اختصار الرابط.
CVE-2024-58342
XenForo before 2.2.17 and 2.3.1 allows open redirect via a specially crafted URL. The getDynamicRedirect() function does
09:57 KSA
متوسط CVSS 6.3 CWE-601
XenForo before 2.2.17 and 2.3.1 allows open redirect via a specially crafted URL. The getDynamicRedirect() function does not adequately validate the redirect target, allowing attackers to redirect users to arbitrary external sites using crafted URLs containing newlines, user cred…
CVE-2025-11950
Improper Neutralization of Input During Web Page Generation (XSS or 'Cross-site Scripting') vulnerability in KNOWHY Adva
04:30 KSA
متوسط CVSS 6.3 CWE-79
Improper Neutralization of Input During Web Page Generation (XSS or 'Cross-site Scripting') vulnerability in KNOWHY Advanced Technology Trading Ltd. Co. EduAsist allows Reflected XSS.This issue affects EduAsist: through 27022026. NOTE: The vendor was contacted early about this d…
CVE-2025-13327
A flaw was found in uv. This vulnerability allows an attacker to execute malicious code during package resolution or ins
04:30 KSA
متوسط CVSS 6.3 CWE-1286
A flaw was found in uv. This vulnerability allows an attacker to execute malicious code during package resolution or installation via specially crafted ZIP (Zipped Information Package) archives that exploit parsing differentials, requiring user interaction to install an attacker-…
CVE-2025-15597
A vulnerability has been found in Dataease SQLBot up to 1.4.0. This affects an unknown function of the file backend/apps
02:48 KSA
متوسط CVSS 6.3 CWE-266
A vulnerability has been found in Dataease SQLBot up to 1.4.0. This affects an unknown function of the file backend/apps/system/api/assistant.py of the component API Endpoint. Such manipulation leads to improper access controls. It is possible to launch the attack remotely. The e…
CVE-2026-27299
Adobe Framemaker versions 2022.8 and earlier are affected by an Improper Input Validation vulnerability that could lead
07:16 KSA
متوسط CVSS 6.3 CWE-20
Adobe Framemaker versions 2022.8 and earlier are affected by an Improper Input Validation vulnerability that could lead to arbitrary file system read. An attacker could leverage this vulnerability to access sensitive files or data on the system. Exploitation of this issue require…
CVE-2026-28361
NocoDB is software for building databases as spreadsheets. Prior to version 0.301.3, the MCP token service did not valid
02:48 KSA
متوسط CVSS 6.3 CWE-639
NocoDB is software for building databases as spreadsheets. Prior to version 0.301.3, the MCP token service did not validate token ownership, allowing a Creator within the same base to read, regenerate, or delete another user's MCP tokens if the token ID was known. This issue has …
CVE-2026-41610
ثغرة XSS في Visual Studio Code تسمح بتجاوز ميزات الأمان محليًا
17:00 KSA
متوسط CVSS 6.3 CWE-59
تحتوي هذه الثغرة على ضعف في معالجة المدخلات أثناء توليد صفحات الويب في Visual Studio Code. يمكن للمهاجمين المحليين استغلال هذا الضعف لتجاوز ميزات الأمان المطبقة. يتطلب الاستغلال وصولاً محليًا إلى النظام.
CVE-2026-43582
ثغرة SSRF في OpenClaw عبر DNS Rebinding في سياسة التنقل بالمتصفح
02:18 KSA
متوسط CVSS 6.3 CWE-367
تحتوي ثغرة CVE-2026-43582 على عيب في التحقق من اسم المضيف في سياسة التنقل بالمتصفح في OpenClaw. يستطيع المهاجمون استخدام هجمات DNS rebinding لاستغلال عدم الاتساق بين التحقق من اسم المضيف والطلبات الفعلية للشبكة. هذا يسمح بالوصول غير المصرح به إلى الموارد الداخلية والأنظمة المحمية…
CVE-2026-4472
حقن SQL في لوحة التحكم بنظام طلب الأطعمة المجمدة عبر الإنترنت
05:45 KSA
متوسط CVSS 6.3 CWE-74
يؤثر هذا الثغر على نظام طلب الأطعمة المجمدة عبر الإنترنت من itsourcecode الإصدار 1.0 حيث يسمح بحقن أوامر SQL عبر معامل Supplier_Name في ملف /admin/admin_edit_supplier.php. يمكن للمهاجمين البعيدين استغلال هذه الثغرة للوصول غير المصرح به إلى قاعدة البيانات وتعديل أو حذف البيانات ال…
CVE-2026-4476
ثغرة المصادقة المفقودة في كاميرا Yi Home Camera 2
05:45 KSA
متوسط CVSS 6.3 CWE-287
تحتوي كاميرا Yi Home Camera 2 الإصدار 2.1.1 على ثغرة في المصادقة في مكون نقطة نهاية CGI (/home/web/ipc) تسمح للمهاجمين على الشبكة المحلية بتجاوز آليات المصادقة. الثغرة تتطلب وصول محلي للشبكة وقد تم الكشف عنها علناً دون استجابة من الشركة المصنعة.
CVE-2026-4509
ثغرة تجاوز قائمة الملفات المحظورة في PbootCMS
23:36 KSA
متوسط CVSS 6.3 CWE-183
يؤثر هذا الضعف على وحدة تحميل الملفات في PbootCMS حيث تفشل قائمة الملفات المحظورة في منع جميع أنواع الملفات الخطرة. يمكن للمهاجمين استغلال هذا الضعف لتحميل ملفات قد تؤدي إلى تنفيذ أكواد ضارة أو الوصول غير المصرح به.
CVE-2026-6979
ثغرة تزوير طلب من جانب الخادم في وحدة تحكم الوسائط API
18:46 KSA
متوسط CVSS 6.3 CWE-918
ثغرة تزوير طلب من جانب الخادم (SSRF) في ملف src/api/media.controller.ts من مكون معالج طلب API في devlikeapro WAHA. تسمح الثغرة للمهاجمين البعيدين بمعالجة الطلبات والوصول إلى الموارد الداخلية أو الخدمات المحمية. تم نشر الاستغلال علناً والبائع لم يستجب للإفصاح المسؤول.
CVE-2026-6981
ثغرة تزوير طلبات من جانب الخادم في وظائف نقاط النهاية في AiraHub2
23:16 KSA
متوسط CVSS 6.3 CWE-918
ثغرة تزوير طلبات من جانب الخادم (SSRF) في مكون نقطة النهاية بملف AiraHub.py تسمح للمهاجمين بمعالجة الطلبات من خلال الخادم. الثغرة تؤثر على وظائف متعددة وتم الكشف عنها علناً دون استجابة من البائع.
CVE-2026-6994
حقن معاملات الاستعلام في مرشح طفرة الرأس في Envoy (CVE-2026-6994)
01:36 KSA
متوسط CVSS 6.3 CWE-74
ثغرة في معالج معاملات الاستعلام في مكون طفرة الرأس بـ Envoy تسمح بحقن البيانات الضارة عن بعد. يمكن للمهاجمين استغلال هذه الثغرة لتعديل رؤوس HTTP وتجاوز الضوابط الأمنية. التحديث الفوري ضروري لجميع الأنظمة التي تستخدم Envoy كخادم وكيل أو بوابة API.
CVE-2026-7023
حقن SQL في دالة ExecuteSQL في ByteDance coze-studio
14:46 KSA
متوسط CVSS 6.3 CWE-74
ثغرة حقن SQL في مكون databaseTool بملف backend/domain/memory/database/service/database_impl.go في ByteDance coze-studio تسمح بمعالجة استعلامات SQL من خلال دالة ExecuteSQL. الهجوم يمكن تنفيذه عن بعد والاستغلال متاح بشكل عام مع عدم استجابة البائع للإفصاح المسؤول.
CVE-2026-7043
ثغرة تحميل ملفات غير مقيدة في GreenCMS بوظيفة إضافة المكونات
06:05 KSA
متوسط CVSS 6.3 CWE-284
تم اكتشاف ثغرة في GreenCMS تسمح بتحميل ملفات غير مقيدة عبر وظيفة إضافة المكونات الإضافية. هذه الثغرة تؤثر على جميع الإصدارات حتى 2.3 والتي لم تعد مدعومة من قبل المطورين. يمكن للمهاجمين استغلال هذه الثغرة لتحميل ملفات ضارة وتنفيذ أكواد بعيدة على الخادم.
CVE-2026-7044
ثغرة تحميل ملفات غير مقيدة في GreenCMS بوظيفة إدارة المظهر
06:05 KSA
متوسط CVSS 6.3 CWE-284
تم اكتشاف ثغرة في GreenCMS تسمح بتحميل ملفات غير مقيدة عبر وظيفة إضافة المظهر في الواجهة الإدارية. يمكن للمهاجمين استغلال هذه الثغرة عن بعد لتحميل ملفات خطيرة مثل الأصداف والبرامج الضارة. الثغرة تؤثر فقط على الإصدارات القديمة التي لم تعد مدعومة من قبل المطورين.
CVE-2026-7045
حقن SpEL في معالج DsSpelExpressionProcessor بمكتبة baomidou dynamic-datasource 2.5.0
06:05 KSA
متوسط CVSS 6.3 CWE-74
تؤثر هذه الثغرة على مكون معالج التعبيرات في مكتبة baomidou dynamic-datasource الإصدار 2.5.0 حيث يتم تقييم تعبيرات SpEL بشكل غير آمن. يمكن للمهاجمين استغلال هذه الثغرة لحقن أكواد ضارة وتنفيذها بعيداً عن طريق معالجة المدخلات غير الموثوقة.
CVE-2026-7084
ثغرة SSRF في نقطة نهاية getCodeByLink لتطبيق Toonflow من HBAI-Ltd
10:36 KSA
متوسط CVSS 6.3 CWE-918
تم العثور على ثغرة SSRF في دالة fetch بملف getCodeByLink.ts في تطبيق Toonflow حتى الإصدار 1.1.1. تسمح الثغرة للمهاجمين بمعالجة معامل الرابط لتنفيذ طلبات على خوادم داخلية. يعترف البائع بأن الواجهة عالية المخاطر وتتطلب موافقة صريحة من المستخدم.
CVE-2026-7822
ثغرة حقن SQL في نظام إدارة البريد itsourcecode الإصدار 1.0
12:49 KSA
متوسط CVSS 6.3 CWE-74
يؤثر هذا الضعف على نظام إدارة البريد itsourcecode الإصدار 1.0 حيث يمكن للمهاجمين البعيدين استغلال معامل ids في ملف /print_pdets.php لتنفيذ هجمات حقن SQL. الاستغلال متاح بشكل علني مما يزيد من خطورة التهديد.
CVE-2026-7844
نقص المصادقة في عمليات خدمة الملفات في Langchain-Chatchat
22:30 KSA
متوسط CVSS 6.3 CWE-287
يؤثر هذا الضعف على مكون خدمة الملفات المتوافق في Langchain-Chatchat حيث تفتقد وظائف إدارة الملفات (القائمة والاسترجاع والحذف) إلى آليات المصادقة الصحيحة. يمكن لأي مهاجم لديه وصول إلى الشبكة المحلية استغلال هذا الضعف للوصول إلى الملفات أو حذفها دون تفويض.
CVE-2020-37234
Internet Download Manager 6.38.12 contains a buffer overflow vulnerability in the Scheduler component that allows local
01:16 KSA
متوسط CVSS 6.2 CWE-120
Internet Download Manager 6.38.12 contains a buffer overflow vulnerability in the Scheduler component that allows local attackers to crash the application by supplying oversized input. Attackers can paste malicious data exceeding 5000 bytes into the 'Open the following file when …
CVE-2020-37246
ثغرة شمول الملفات المحلية وحذف الملفات العشوائية في Supsystic Backup 2.3.9
01:16 KSA
متوسط CVSS 6.2 CWE-98
تحتوي نسخة 2.3.9 من Supsystic Backup على ثغرة خطيرة تسمح للمهاجمين بالوصول إلى الملفات الحساسة على الخادم دون الحاجة إلى بيانات اعتماد. يمكن للمهاجمين استخدام تسلسلات اجتياز الدليل مثل ../ للتنقل عبر هيكل الملفات وقراءة أو حذف ملفات النظام الحرجة.
CVE-2021-47978
ثغرة شمول ملفات محلية في ProcessMaker 3.5.4 بدون مصادقة عبر اجتياز المسار
01:16 KSA
متوسط CVSS 6.2 CWE-98
تحتوي نسخة ProcessMaker 3.5.4 على ثغرة في التحقق من صحة المسارات تسمح بالوصول غير المصرح إلى ملفات النظام الحساسة. يمكن للمهاجمين استخدام تسلسلات اجتياز الدليل (مثل ../) للوصول إلى ملفات خارج الدليل المقصود. هذا يشكل خطراً كبيراً على سرية البيانات والامتثال التنظيمي.
CVE-2021-47967
PHP Timeclock 1.04 contains multiple cross-site scripting vulnerabilities that allow unauthenticated attackers to inject
10:36 KSA
متوسط CVSS 6.1 CWE-79
PHP Timeclock 1.04 contains multiple cross-site scripting vulnerabilities that allow unauthenticated attackers to inject arbitrary JavaScript by manipulating URL paths and POST parameters. Attackers can append malicious payloads to login.php, timeclock.php, audit.php, and timerpt…
CVE-2021-47955
CouchCMS 2.2.1 contains a cross-site scripting vulnerability that allows authenticated attackers to execute arbitrary Ja
01:16 KSA
متوسط CVSS 5.4 CWE-79
CouchCMS 2.2.1 contains a cross-site scripting vulnerability that allows authenticated attackers to execute arbitrary JavaScript by uploading malicious SVG files through the file upload functionality. Attackers can upload SVG files containing embedded script tags to the browse.ph…
CVE-2021-47981
Quick.CMS 6.7 contains a cross-site scripting vulnerability in the sliders form that allows authenticated attackers to i
01:16 KSA
متوسط CVSS 5.4 CWE-79
Quick.CMS 6.7 contains a cross-site scripting vulnerability in the sliders form that allows authenticated attackers to inject malicious scripts by submitting XSS payloads through the sDescription parameter. Attackers can craft CSRF forms targeting the admin.php?p=sliders-form end…
CVE-2026-22707
Strapi is an open source headless content management system. In Strapi versions prior to 5.33.3, the Upload plugin's Con
10:36 KSA
متوسط CVSS 5.4 CWE-434
Strapi is an open source headless content management system. In Strapi versions prior to 5.33.3, the Upload plugin's Content API endpoints did not enforce the administrator-configured MIME type restrictions (`plugin.upload.security.allowedTypes` and `deniedTypes`). The same restr…
CVE-2026-23695
Cockpit CMS through version 2.14.0, patched in commit 72a83fc, contains a stored cross-site scripting vulnerability in t
10:36 KSA
متوسط CVSS 5.4 CWE-79
Cockpit CMS through version 2.14.0, patched in commit 72a83fc, contains a stored cross-site scripting vulnerability in the Set field type's Display template option, where the template string is processed by the $interpolate function using new Function() and rendered via Vue's v-h…
CVE-2020-37241
bloofoxCMS 0.5.2.1 contains a cross-site request forgery vulnerability that allows attackers to perform administrative a
01:16 KSA
متوسط CVSS 5.3 CWE-352
bloofoxCMS 0.5.2.1 contains a cross-site request forgery vulnerability that allows attackers to perform administrative actions by tricking logged-in users into visiting malicious pages. Attackers can craft hidden forms targeting the admin user creation endpoint to add new adminis…
CVE-2021-47934
MyBB Timeline Plugin 1.0 contains cross-site scripting vulnerabilities that allow attackers to inject malicious scripts
01:16 KSA
متوسط CVSS 5.3 CWE-79
MyBB Timeline Plugin 1.0 contains cross-site scripting vulnerabilities that allow attackers to inject malicious scripts through thread titles, post content, and user profile fields like Location and Bio. Attackers can also exploit a cross-site request forgery vulnerability in the…
CVE-2025-64526
Strapi is an open source headless content management system. In Strapi versions prior to 5.45.0, the rate-limit middlewa
10:36 KSA
متوسط CVSS 5.3 CWE-307
Strapi is an open source headless content management system. In Strapi versions prior to 5.45.0, the rate-limit middleware in the users-permissions plugin derived its rate-limit key in part from `ctx.request.body.email`, including on routes whose body schema does not contain an `…
CVE-2026-8681
ثغرة تجاوز التفويض في مكون Essential Chat Support لـ WordPress
10:36 KSA
متوسط CVSS 5.3 CWE-862
ثغرة تجاوز التفويض في مكون Essential Chat Support لـ WordPress تسمح للمهاجمين غير المصرح لهم بإرسال طلب POST بسيط لإعادة تعيين جميع إعدادات المكون إلى القيم الافتراضية. يؤثر هذا على الإعدادات العامة وقواعد العرض وCSS المخصص وإعدادات علامة تبويب WooCommerce.
⚠️ استخبارات التهديدات
5 تهديد
rss:BleepingComputer
03:32 KSA
حرج vulnerability
مايكروسوفت ترفض تقرير ثغرة حرجة في Azure، لم يتم إصدار CVE يزعم باحث أمني أن مايكروسوفت أصلحت بصمت ثغرة حرجة في Azure Backup for AKS بعد رفض تقرير الكشف دون إصدار معرّف CVE. تنفي مايكروسوفت الادعاء، مؤكدة أن السلوك متوقع ولم يتم إجراء أي تغييرات على المنتج.
rss:The Hacker News
23:18 KSA
حرج vulnerability
ثغرة في أداة بناء القمع تحت الاستغلال النشط تمكن من سرقة بيانات الدفع في WooCommerce يتم استغلال ثغرة حرجة في إضافة Funnel Builder لـ WordPress بشكل نشط لحقن أكواد JavaScript ضارة في صفحات الدفع في WooCommerce بهدف سرقة بيانات الدفع. يستخدم المهاجمون هذه الثغرة …
rss:BleepingComputer
21:48 KSA
حرج malware
قراصنة روس يحولون برنامج Kazuar الخلفي إلى شبكة بوتنت موزعة معيارية قامت مجموعة التهديد الروسية Secret Blizzard بتطوير برنامج Kazuar الخلفي إلى بنية شبكة بوتنت موزعة معيارية تمكن من التحكم المستمر والعمليات الخفية وسرقة البيانات على نطاق واسع. يمثل هذا التطور تص…
rss:SecurityWeek
16:54 KSA
حرج vulnerability
نشر كود إثبات المفهوم لثغرة حرجة في NGINX تم اكتشاف ثغرة حرجة في NGINX كانت موجودة منذ عام 2008 وتم إصلاحها مؤخراً في إصدارات NGINX Plus والمصدر المفتوح. نشر كود إثبات المفهوم يزيد من خطر استغلال هذه الثغرة من قبل الجهات الضارة.
rss:Dark Reading
03:40 KSA
عالٍ vulnerability
الأشياء الممله أصبحت خطيرة الآن تظهر وكلاء ذكاء اصطناعي قادرة على اكتشاف واستغلال الثغرات الغامضة، بينما ينتج المطورون في نفس الوقت كميات كبيرة من أكواد مولدة بالذكاء الاصطناعي قد تكون معيبة. يفرض هذا التهديد المزدوج على المدافعين عن الأمن السيبراني التكيف السري…
📰 أخبار الأمن السيبراني
0 مقال
📰 لا توجد أخبار مجمّعة اليوم حتى الآن

يتم تحديث هذه النشرة تلقائياً يومياً — آخر تحديث: 16 May 2026
أرشيف الثغرات · التهديدات · الأخبار

📣 وجدت هذا مفيداً؟
شاركه مع شبكة الأمن السيبراني الخاصة بك
in لينكدإن 𝕏 تويتر 💬 واتساب ✈ تليجرام
🍪 إعدادات الخصوصية
سيزو للاستشارات — متوافق مع نظام حماية البيانات الشخصية السعودي (PDPL)
نستخدم ملفات تعريف الارتباط والتقنيات المشابهة لتوفير أفضل تجربة على منصتنا. يمكنك اختيار الأنواع التي تقبلها.
🔒
ملفات ضرورية Always On
مطلوبة لعمل الموقع بشكل صحيح. لا يمكن تعطيلها.
📋 الجلسات، CSRF، المصادقة، تفضيلات اللغة
📊
ملفات التحليلات
تساعدنا في فهم كيفية استخدام الزوار للموقع وتحسين الأداء.
📋 إحصائيات الصفحات، مدة الجلسة، مصدر الزيارة
⚙️
ملفات وظيفية
تتيح ميزات محسنة مثل تخصيص المحتوى والتفضيلات.
📋 السمة المظلمة/الفاتحة، حجم الخط، لوحات التحكم المخصصة
📣
ملفات تسويقية
تُستخدم لتقديم محتوى وإعلانات ذات صلة باهتماماتك.
📋 تتبع الحملات، إعادة الاستهداف، تحليلات وسائل التواصل
سياسة الخصوصية →
مساعد CISO الذكي
اسألني أي شيء · وثائق · دعم
🔐

عرّفنا بنفسك

أدخل بياناتك للوصول إلى المساعد الكامل

معلوماتك آمنة ولن تُشارك
💬
المساعد السيبراني
متصل — يرد في ثوانٍ
5 / 5
🔐 تحقق من هويتك

أدخل بريدك الإلكتروني لإرسال رمز تحقق قبل إرسال طلب الدعم.

Enter للإرسال · / للأوامر 0 / 2000
CISO AI · مدعوم بالذكاء الاصطناعي
✦ استطلاع سريع ساعدنا في تحسين منصة سيزو للاستشارات ملاحظاتك تشكّل مستقبل منصتنا — لا تستغرق سوى دقيقتين.
⚠ يرجى الإجابة على هذا السؤال للمتابعة

كيف تقيّم تجربتك العامة مع منصتنا؟

قيّم من 1 (ضعيف) إلى 5 (ممتاز)

🎉
شكراً جزيلاً!
تم تسجيل إجابتك بنجاح.