سيزو للاستشارات

→

20 May 2026 اليوم

←

200 ثغرة

47 تهديد

1 خبر

8 حرجة

7 CISA KEV

🛡 الثغرات الأمنية (CVE)

200 ثغرة

CVE-2008-4250

Microsoft Windows — CVE-2008-4250 Microsoft Windows contains a buffer overflow vulnerability in the Windows Server Servi

05:48 KSA

حرج CVSS 9.8 ⚠ CISA KEV

Microsoft Windows — CVE-2008-4250 Microsoft Windows contains a buffer overflow vulnerability in the Windows Server Service that allows remote attackers to execute arbitrary code via a crafted RPC request that triggers an overflow during path canonicalization. Required Action: Ap…

CVE-2009-1537

Microsoft DirectX — CVE-2009-1537 Microsoft DirectX contains a NULL byte overwrite vulnerability in the QuickTime Movie

05:48 KSA

حرج CVSS 9.8 ⚠ CISA KEV

Microsoft DirectX — CVE-2009-1537 Microsoft DirectX contains a NULL byte overwrite vulnerability in the QuickTime Movie Parser Filter in quartz.dll in DirectShow which could allow remote attackers to execute arbitrary code via a crafted QuickTime media file. Required Action: App…

CVE-2009-3459

Adobe Acrobat and Reader — CVE-2009-3459 Adobe Acrobat and Reader contain a heap-based buffer overflow vulnerability whi

05:48 KSA

حرج CVSS 9.8 ⚠ CISA KEV

Adobe Acrobat and Reader — CVE-2009-3459 Adobe Acrobat and Reader contain a heap-based buffer overflow vulnerability which could allow remote attackers to execute arbitrary code via a crafted PDF file that triggers memory corruption. Required Action: Apply mitigations per vendor…

CVE-2010-0249

Microsoft Internet Explorer — CVE-2010-0249 Microsoft Internet Explorer contains an use-after-free vulnerability that co

05:48 KSA

حرج CVSS 9.8 ⚠ CISA KEV

Microsoft Internet Explorer — CVE-2010-0249 Microsoft Internet Explorer contains an use-after-free vulnerability that could allow remote attackers to execute arbitrary code by accessing a pointer associated with a deleted object. The impacted product could be end-of-life (EoL) an…

CVE-2010-0806

Microsoft Internet Explorer — CVE-2010-0806 Microsoft Internet Explorer contains an use-after-free vulnerability that co

05:48 KSA

حرج CVSS 9.8 ⚠ CISA KEV

Microsoft Internet Explorer — CVE-2010-0806 Microsoft Internet Explorer contains an use-after-free vulnerability that could allow remote attackers to execute arbitrary code via vectors involving access to an invalid pointer after the deletion of an object. The impacted product co…

CVE-2026-41091

Microsoft Defender — CVE-2026-41091 Microsoft Defender contains a link following vulnerability that allows an authorized

05:48 KSA

حرج CVSS 9.8 ⚠ CISA KEV

Microsoft Defender — CVE-2026-41091 Microsoft Defender contains a link following vulnerability that allows an authorized attacker to elevate privileges locally. Required Action: Apply mitigations per vendor instructions, follow applicable BOD 22-01 guidance for cloud services, o…

CVE-2026-45498

Microsoft Defender — CVE-2026-45498 Microsoft Defender contains an unspecified vulnerability that allows for denial of s

05:48 KSA

حرج CVSS 9.8 ⚠ CISA KEV

Microsoft Defender — CVE-2026-45498 Microsoft Defender contains an unspecified vulnerability that allows for denial of service. Required Action: Apply mitigations per vendor instructions, follow applicable BOD 22-01 guidance for cloud services, or discontinue use of the product …

CVE-2026-41615

ثغرة الكشف عن المعلومات في Microsoft Authenticator (CVE-2026-41615)

02:54 KSA

حرج CVSS 9.6 CWE-200

تعرض هذه الثغرة الحرجة في Microsoft Authenticator معلومات حساسة للمهاجمين غير المصرح لهم عبر الشبكة من خلال آلية كشف المعلومات. تؤثر الثغرة على سلامة عمليات المصادقة وقد تسمح بالوصول غير المصرح إلى بيانات اعتماد المستخدمين والبيانات الحساسة للمنظمات.

CVE-2020-37227

ثغرة تحميل ملفات غير مقيدة في HS Brand Logo Slider 2.1 تؤدي لتنفيذ أوامر بعيد

19:18 KSA

عالٍ CVSS 8.8 CWE-434

تؤثر هذه الثغرة على مكون HS Brand Logo Slider الإصدار 2.1 وتسمح للمستخدمين المصرحين بتجاوز التحقق من امتداد الملف على جانب العميل. يمكن للمهاجمين اعتراض طلبات التحميل وإعادة تسمية الملفات إلى امتدادات PHP لتحقيق تنفيذ أوامر بعيد على الخادم.

CVE-2021-47964

تنفيذ كود بعيد في Schlix CMS 2.2.6-6 عبر تحميل امتداد ضار

19:18 KSA

عالٍ CVSS 8.8 CWE-94

تحتوي نسخة Schlix CMS 2.2.6-6 على ثغرة تنفيذ كود بعيد في وحدة إدارة الكتل تسمح للمستخدمين المصرحين بتحميل ملفات ZIP ضارة. يمكن للمهاجمين إدراج كود PHP في ملف packageinfo.inc وتفعيله بالوصول إلى علامة التبويب About للامتداد المثبت.

CVE-2021-47976

تنفيذ أكواد بعيدة في TextPattern CMS 4.9.0-dev عبر تحميل المكونات الإضافية

19:18 KSA

عالٍ CVSS 8.8 CWE-352

تحتوي نسخة TextPattern CMS 4.9.0-dev على ثغرة في وظيفة تحميل المكونات الإضافية تسمح للمهاجمين المصرح لهم بتحميل ملفات PHP تعسفية. يمكن للمهاجمين الحصول على رمز CSRF من صفحة حدث المكون الإضافي وتحميل ملفات ضارة إلى مجلد textpattern/tmp/ لتنفيذ أكواد عشوائية.

CVE-2021-47979

ثغرة حذف الملفات التعسفية في إضافة النسخ الاحتياطي واستعادة ووردبريس 1.0.3

19:18 KSA

عالٍ CVSS 8.8 CWE-22

تحتوي إضافة ووردبريس Backup and Restore الإصدار 1.0.3 على ثغرة تسمح للمهاجمين المصرح لهم بحذف الملفات التعسفية من خلال معالجات AJAX. يمكن للمهاجمين إرسال طلبات POST إلى admin-ajax.php مع معاملات file_name و folder_name مزيفة لحذف الملفات الحرجة.

CVE-2025-15023

خلل في التفويض في نظام أتمتة المكتبات من يوردام الإصدارات 19.5-22.0

02:54 KSA

عالٍ CVSS 8.8 CWE-863

يؤثر هذا الخلل على نظام أتمتة المكتبات من يوردام من الإصدار 19.5 إلى 22.0 ويسمح للمهاجمين باستغلال مستويات التحكم في الوصول المُعدة بشكل غير صحيح. يمكن للمهاجمين الوصول إلى موارد المكتبة والبيانات الحساسة دون تفويض مناسب.

CVE-2025-15024

ثغرة حقن الأكواد في نظام أتمتة المكتبات من يوردام تسمح بتنفيذ أكواد بعيدة

02:54 KSA

عالٍ CVSS 8.8 CWE-94

يؤثر هذا الضعف على نظام أتمتة المكتبات من يوردام الإصدارات 19.5 إلى 22.0 ويسمح بحقن وتنفيذ أكواد عشوائية عن بعد. يمكن للمهاجمين استغلال هذه الثغرة للوصول غير المصرح به إلى البيانات الحساسة وتعطيل الخدمات.

CVE-2025-15025

تجاوز التفويض في نظام أتمتة المكتبات من يوردام عبر مفاتيح يتحكم بها المستخدم

02:54 KSA

عالٍ CVSS 8.8 CWE-639

يؤثر هذا الثغر على نظام أتمتة المكتبات من يوردام من الإصدار 21.6 إلى 22.0 ويسمح بتجاوز آليات التفويض. يمكن للمهاجمين استغلال المفاتيح المتحكم بها من قبل المستخدم للوصول غير المصرح به إلى موارد النظام والبيانات الحساسة.

CVE-2026-24425

تجاوز حماية Twig الرملية عبر مرشحات واجهة سياسة المصدر

18:18 KSA

عالٍ CVSS 8.8 CWE-693

تحتوي نسخ محرك قوالب Twig على ثغرة تسمح للمهاجمين بتجاوز قيود الحماية الرملية عند استخدام واجهة سياسة المصدر. يمكن للمهاجمين الذين لديهم إمكانية عرض القوالب تمرير دوال PHP عشوائية إلى مرشحات الفرز والتصفية والخريطة والتقليل. الفحص في وقت التشغيل يفشل في استخدام مصدر القالب الحالي…

CVE-2026-45035

Tabby (formerly Terminus) is a highly configurable terminal emulator. Prior to 1.0.233, Tabby registers itself as the ha

10:28 KSA

عالٍ CVSS 8.8 CWE-78

Tabby (formerly Terminus) is a highly configurable terminal emulator. Prior to 1.0.233, Tabby registers itself as the handler for the tabby:// URL scheme on all platforms. The URL scheme handler supports a run command that directly executes OS commands with no user confirmation, …

CVE-2026-5200

The AcyMailing – An Ultimate Newsletter Plugin and Marketing Automation Solution for WordPress plugin for WordPress is v

22:35 KSA

عالٍ CVSS 8.8 CWE-862

The AcyMailing – An Ultimate Newsletter Plugin and Marketing Automation Solution for WordPress plugin for WordPress is vulnerable to Missing Authorization in versions up to, and including, 10.8.2. This is due to the plugin not properly verifying that a user is authorized to perfo…

CVE-2026-6228

ثغرة تصعيد الامتيازات في إضافة Frontend Admin عبر التلاعب بالأدوار

02:54 KSA

عالٍ CVSS 8.8 CWE-269

ثغرة تصعيد امتيازات في إضافة Frontend Admin للووردبريس تسمح للمحررين بإنشاء نماذج تمنح صلاحيات المسؤول. يمكن للمهاجمين تجاوز قيود الواجهة بإرسال بيانات POST مباشرة لحقن خيارات الأدوار الإدارية في نماذج تحرير المستخدمين.

CVE-2026-6456

The Account Switcher plugin for WordPress is vulnerable to Privilege Escalation in all versions up to, and including, 1.

19:28 KSA

عالٍ CVSS 8.8 CWE-287

The Account Switcher plugin for WordPress is vulnerable to Privilege Escalation in all versions up to, and including, 1.0.2. This is due to the `rememberLogin` REST API endpoint using a loose comparison (`!=` instead of `!==`) for secret validation at `app/RestAPI.php:111`, combi…

CVE-2026-7467

The Read More & Accordion plugin for WordPress is vulnerable to Privilege Escalation in all versions up to, and includin

22:35 KSA

عالٍ CVSS 8.8 CWE-269

The Read More & Accordion plugin for WordPress is vulnerable to Privilege Escalation in all versions up to, and including, 3.5.7. This is due to the 'RadMoreAjax::importData' function not restricting which database tables can be written to during import and not properly validatin…

CVE-2026-7522

The Advanced Database Cleaner – Premium plugin for WordPress is vulnerable to Local File Inclusion in versions up to, an

22:35 KSA

عالٍ CVSS 8.8 CWE-98

The Advanced Database Cleaner – Premium plugin for WordPress is vulnerable to Local File Inclusion in versions up to, and including, 4.1.0 via the 'template' parameter. This makes it possible for authenticated attackers, with Subscriber-level access and above, to include and exec…

CVE-2026-8719

ثغرة تصعيد الامتيازات في إضافة AI Engine لـ WordPress عبر MCP OAuth

19:18 KSA

عالٍ CVSS 8.8 CWE-269

ثغرة في إضافة AI Engine للـ WordPress تؤثر على الإصدار 3.4.9 حيث يفتقد التحقق من صلاحيات WordPress في مسار تفويض OAuth للـ MCP. يسمح هذا للمستخدمين المصرحين بمستويات منخفضة بتجاوز الفحوصات والوصول إلى أدوات إدارية.

CVE-2026-8775

تجاوز المخزن المؤقت في معالج تكوين L2TP في جهاز Edimax BR-6428NS

01:34 KSA

عالٍ CVSS 8.8 CWE-119

تؤثر هذه الثغرة على جهاز التوجيه Edimax BR-6428NS الإصدار 1.10 حيث يمكن للمهاجمين استغلال تجاوز المخزن المؤقت في معامل L2TPUserName لتنفيذ تعليمات برمجية عشوائية. يمكن تنفيذ الهجوم عن بعد دون الحاجة إلى مصادقة، مما يجعلها تهديداً خطيراً للشبكات المؤسسية.

CVE-2026-8621

تجاوز المصادقة في Crabbox عبر تزييف رؤوس الهوية

02:54 KSA

عالٍ CVSS 8.8 CWE-287

تسمح هذه الثغرة للمهاجمين الذين يمتلكون رموز مشتركة بتجاوز فحوصات التفويض عن طريق حقن رؤوس مخصصة تدّعي هوية مالكين أو منظمات أخرى. يمكن استغلال هذا الضعف للوصول إلى عمليات الإيجار الحساسة والبيانات المرتبطة بحسابات الضحايا دون تصريح صحيح.

CVE-2026-8776

تجاوز المخزن المؤقت في وظيفة إعداد PPTP في جهاز Edimax BR-6428NS

01:34 KSA

عالٍ CVSS 8.8 CWE-119

يؤثر هذا الضعف على جهاز التوجيه Edimax BR-6428NS الإصدار 1.10 من خلال ثغرة تجاوز المخزن المؤقت في معالج طلبات POST لوظيفة formPPTPSetup. يمكن للمهاجمين البعيدين استغلال معامل pptpUserName لتنفيذ تعليمات برمجية عشوائية على الجهاز. لم يستجب البائع للإفصاح المبكر، مما يترك المنظمات …

CVE-2026-40061

ثغرة رفع الامتيازات في F5 BIG-IP DNS عبر أوامر iControl REST و tmsh

22:51 KSA

عالٍ CVSS 8.7 CWE-77

تؤثر هذه الثغرة على F5 BIG-IP DNS عندما يتم توفيرها، حيث يمكن لمسؤول مصرح بدور مسؤول الموارد أو المسؤول تنفيذ أوامر نظام عشوائية برفع الامتيازات. في نشر وضع الجهاز، يمكن للمهاجم الناجح عبور حدود الأمان والوصول إلى موارد النظام الحساسة.

CVE-2026-40631

تصعيد امتيازات F5 BIG-IP عبر iControl SOAP

22:51 KSA

عالٍ CVSS 8.7 CWE-552

تسمح هذه الثغرة للمستخدمين المصرحين بأدوار إدارية بتعديل كائنات التكوين الحساسة عبر بروتوكول iControl SOAP. يمكن للمهاجم استخدام هذا الوصول لتصعيد امتيازاته وكسب تحكم كامل على نظام BIG-IP. تؤثر الثغرة على الإصدارات المدعومة فقط من F5 BIG-IP.

CVE-2026-40698

A vulnerability exists in BIG-IP and BIG-IQ systems where a highly privileged, authenticated attacker with at least the

22:51 KSA

عالٍ CVSS 8.7 CWE-77

A vulnerability exists in BIG-IP and BIG-IQ systems where a highly privileged, authenticated attacker with at least the Resource Administrator role can create SNMP configuration objects through iControl REST or the TMOS shell (tmsh) resulting in privilege escalation. Note: Softw…

CVE-2026-41953

تصعيد امتيازات F5 BIG-IP عبر تعديل كائنات التكوين

22:51 KSA

عالٍ CVSS 8.7 CWE-77

تسمح هذه الثغرة لمستخدم مصرح بدور مسؤول الموارد أو أعلى بتعديل كائنات التكوين في BIG-IP لتصعيد امتيازاته. تؤثر الثغرة على الإصدارات النشطة فقط من BIG-IP وليس على الإصدارات التي انتهت دعمتها الفنية.

CVE-2026-44295

توليد معرفات JavaScript غير آمنة في protobufjs-cli في الكود الثابت

02:54 KSA

عالٍ CVSS 8.7 CWE-94

تحتوي ثغرة CVE-2026-44295 على فشل في تنظيف معرفات JavaScript المشتقة من أسماء مُتحكم بها من قبل الأنماط في أداة سطر الأوامر protobufjs-cli. قد يسمح هذا الفشل بإدراج كود ضار أو معرفات غير آمنة في الملفات المُنتجة عند معالجة أنماط بروتوكول buffer مصممة بحرفية.

CVE-2026-20224

A vulnerability in the web UI of Cisco Catalyst SD-WAN Manager, formerly SD-WAN vManage, could allow an unauthenticated,

02:54 KSA

عالٍ CVSS 8.6 CWE-20

A vulnerability in the web UI of Cisco Catalyst SD-WAN Manager, formerly SD-WAN vManage, could allow an unauthenticated, remote attacker to read arbitrary files that are stored in an affected system. The attacker does not need to have valid user credentials. This vulnerability…

CVE-2018-25322

ثغرة تجاوز المخزن المؤقت في Allok Fast AVI MPEG Splitter 1.2

19:18 KSA

عالٍ CVSS 8.4 CWE-121

تحتوي نسخة 1.2 من Allok Fast AVI MPEG Splitter على ثغرة تجاوز المخزن المؤقت في المكدس في حقل اسم الترخيص. يمكن للمهاجمين المحليين استغلال هذه الثغرة بإرسال سلسلة نصية طويلة تحتوي على 780 بايت من البيانات العشوائية متبوعة برمز ضار. يؤدي هذا الاستغلال إلى تنفيذ أكواد عشوائية بامتيا…

CVE-2018-25323

ثغرة تجاوز المخزن المؤقت SEH في محول Allok AVI DivX MPEG إلى DVD

19:18 KSA

عالٍ CVSS 8.4 CWE-120

تحتوي نسخة 2.6.1217 من محول Allok AVI DivX MPEG إلى DVD على ثغرة تجاوز مخزن مؤقت في معالج الاستثناءات المنظمة (SEH) تسمح للمهاجمين المحليين بتنفيذ كود عشوائي. يمكن استغلال الثغرة بإدراج حمولة ضارة في حقل اسم الترخيص تحتوي على shellcode وقيم إعادة كتابة سلسلة SEH.

CVE-2018-25328

ثغرة تجاوز المخزن المؤقت المحلي في VX Search 10.6.18 في حقل الدليل

19:18 KSA

عالٍ CVSS 8.4 CWE-120

ثغرة تجاوز المخزن المؤقت المحلي في VX Search 10.6.18 تسمح للمهاجمين بتجاوز حدود المخزن المؤقت في حقل الدليل. يمكن للمهاجم إنشاء ملف ضار يحتوي على 271 بايت من البيانات العشوائية متبوعة بعنوان إرجاع لتنفيذ كود عشوائي بامتيازات التطبيق.

CVE-2020-37221

Atomic Alarm Clock 6.3 contains a stack overflow vulnerability that allows local attackers to execute arbitrary code by

22:51 KSA

عالٍ CVSS 8.4 CWE-121

Atomic Alarm Clock 6.3 contains a stack overflow vulnerability that allows local attackers to execute arbitrary code by supplying a malicious string to the display name textbox in the Time Zones Clock configuration. Attackers can craft a buffer with structured exception handling …

CVE-2018-25330

ثغرات حقن SQL و XSS الدائمة في Joomla EkRishta 2.10

19:18 KSA

عالٍ CVSS 8.2 CWE-89

يحتوي امتداد EkRishta 2.10 في Joomla على ثغرات حقن SQL و XSS دائمة تسمح للمهاجمين بحقن رموز ضارة عبر حقول الملف الشخصي مثل العنوان ومعاملات POST. يمكن للمهاجمين استخدام معاملات مثل phone_no للتلاعب باستعلامات قاعدة البيانات وتنفيذ برامج نصية ضارة عند زيارة المستخدمين للملفات الشخ…

CVE-2018-25333

ثغرة حقن SQL في خادم ويب توربينات Nordex N149 الإصدار 4.0 في معامل تسجيل الدخول

19:18 KSA

عالٍ CVSS 8.2 CWE-89

تحتوي نسخة 4.0 من خادم الويب Nordex N149/4.0-4.5 لتوربينات الرياح على ثغرة حقن SQL خطيرة في معامل تسجيل الدخول. يمكن للمهاجمين غير المصرحين استغلال هذه الثغرة لتنفيذ استعلامات SQL عشوائية وتجاوز آليات المصادقة واستخراج بيانات حساسة من قاعدة البيانات.

CVE-2018-25338

ثغرة حقن SQL في Zechat 1.5 في معامل الهاشتاج

19:18 KSA

عالٍ CVSS 8.2 CWE-89

تحتوي نسخة Zechat 1.5 على ثغرة حقن SQL خطيرة في معامل الهاشتاج تسمح للمهاجمين بتنفيذ استعلامات SQL عشوائية. يمكن للمهاجمين غير المصرحين استخدام تقنيات الاتحاد لاستخراج أسماء الجداول والأعمدة وبيانات حساسة أخرى من قاعدة البيانات.

CVE-2018-25339

ثغرة حقن SQL في Zechat 1.5 عبر معامل v بدون مصادقة

23:20 KSA

عالٍ CVSS 8.2 CWE-89

يؤثر هذا الضعف على Zechat الإصدار 1.5 حيث يسمح معامل v بحقن أوامر SQL دون الحاجة للمصادقة. يمكن للمهاجمين استخدام تقنيات العمياء المستندة إلى الوقت مثل sleep() لاستخراج البيانات الحساسة من قاعدة البيانات بشكل تدريجي. هذا يشكل تهديداً خطيراً لسرية وتكامل البيانات المخزنة في التطبي…

CVE-2020-37218

Joomla com_hdwplayer 4.2 contains an SQL injection vulnerability in the search.php file that allows unauthenticated atta

22:51 KSA

عالٍ CVSS 8.2 CWE-89

Joomla com_hdwplayer 4.2 contains an SQL injection vulnerability in the search.php file that allows unauthenticated attackers to execute arbitrary SQL queries by injecting malicious code through the hdwplayersearch parameter. Attackers can submit POST requests with crafted SQL pa…

CVE-2020-37242

ثغرة حقن SQL غير مصرح بها في Supsystic Ultimate Maps 1.1.12 عبر معامل sidx

19:18 KSA

عالٍ CVSS 8.2 CWE-89

تحتوي نسخة Supsystic Ultimate Maps 1.1.12 على ثغرة حقن SQL حرجة تسمح للمهاجمين غير المصرح لهم بتنفيذ استعلامات SQL عشوائية. يمكن استغلال هذه الثغرة من خلال معامل 'sidx' باستخدام تقنيات العمياء القائمة على الوقت أو القيمة المنطقية. قد يؤدي هذا إلى الوصول غير المصرح به إلى بيانات ق…

CVE-2020-37243

ثغرات حقن SQL و XSS المخزنة في Supsystic Pricing Table 1.8.7

19:18 KSA

عالٍ CVSS 8.2 CWE-89

يحتوي مكون Supsystic Pricing Table الإصدار 1.8.7 على ثغرة حقن SQL في معامل 'sidx' تسمح للمهاجمين غير المصرح لهم بتنفيذ استعلامات SQL عشوائية من خلال إجراء getListForTbl. يحتوي المكون أيضاً على ثغرات XSS مخزنة في حقول 'Edit name' و 'Edit HTML' التي تنفذ برامج نصية ضارة عند عرض جدا…

CVE-2020-37244

ثغرة حقن SQL غير مصرح بها في Supsystic Membership 1.4.7 في وحدة الشارات

19:18 KSA

عالٍ CVSS 8.2 CWE-89

يحتوي مكون Supsystic Membership الإصدار 1.4.7 على ثغرة حقن SQL تسمح للمهاجمين غير المصرح لهم بتنفيذ استعلامات SQL عشوائية. يمكن للمهاجمين إرسال طلبات GET إلى وحدة الشارات مع حمولات مصممة لاستخراج معلومات حساسة من قاعدة البيانات باستخدام تقنيات حقن SQL العمياء المستندة إلى الوقت أ…

CVE-2021-47954

ثغرة حقن SQL في LayerBB 1.1.4 في معامل البحث

19:18 KSA

عالٍ CVSS 8.2 CWE-89

ثغرة حقن SQL في LayerBB 1.1.4 تؤثر على معامل search_query في /search.php وتسمح للمهاجمين غير المصرحين بتنفيذ استعلامات SQL عشوائية. يمكن للمهاجمين استخراج بيانات حساسة من قاعدة البيانات بما في ذلك بيانات المستخدمين والمعلومات السرية باستخدام عبارات CASE WHEN.

CVE-2021-47956

ثغرة حقن SQL غير مصرح بها في EgavilanMedia PHPCRUD 1.0 في معامل firstname

19:18 KSA

عالٍ CVSS 8.2 CWE-89

تحتوي نسخة PHPCRUD 1.0 من EgavilanMedia على ثغرة حقن SQL حرجة تسمح للمهاجمين بدون مصادقة بإرسال طلبات POST إلى insert.php مع قيم firstname ضارة. يمكن للمهاجمين استخدام هذه الثغرة لاستخراج بيانات حساسة من قاعدة البيانات والتلاعب بسجلات البيانات.

CVE-2021-47966

ثغرة حقن SQL العمياء في تطبيق PHP Timeclock 1.04 في معامل تسجيل الدخول

19:18 KSA

عالٍ CVSS 8.2 CWE-89

يحتوي تطبيق PHP Timeclock الإصدار 1.04 على ثغرات حقن SQL عمياء في معامل معرف المستخدم بتسجيل الدخول. يمكن للمهاجمين غير المصرحين استخدام تقنيات قائمة على الوقت والقيم المنطقية لاستخراج بيانات حساسة من قاعدة البيانات. تشمل البيانات المعرضة للخطر أسماء الموظفين وبيانات اعتماد تسجيل…

CVE-2026-24188

NVIDIA TensorRT contains a vulnerability where an attacker could cause an out-of-bounds write. A successful exploit of t

03:00 KSA

عالٍ CVSS 8.2 CWE-787

NVIDIA TensorRT contains a vulnerability where an attacker could cause an out-of-bounds write. A successful exploit of this vulnerability might lead to data tampering.

CVE-2026-5395

The Fluent Forms – Customizable Contact Forms, Survey, Quiz, & Conversational Form Builder plugin for WordPress is vulne

22:51 KSA

عالٍ CVSS 8.2 CWE-639

The Fluent Forms – Customizable Contact Forms, Survey, Quiz, & Conversational Form Builder plugin for WordPress is vulnerable to Insecure Direct Object Reference in all versions up to, and including, 6.2.0 via the exportEntries function due to missing validation on a user control…

CVE-2026-5396

The Fluent Forms plugin for WordPress is vulnerable to Authorization Bypass Through User-Controlled Key in all versions

22:51 KSA

عالٍ CVSS 8.2 CWE-639

The Fluent Forms plugin for WordPress is vulnerable to Authorization Bypass Through User-Controlled Key in all versions up to, and including, 6.1.21. This is due to the SubmissionPolicy class authorizing submission-level actions (read, modify, delete, add notes) based on a user-s…

CVE-2026-20916

ثغرة اجتياز المسار في BIG-IQ iControl REST - إنشاء/تعديل ملفات عشوائية

22:51 KSA

عالٍ CVSS 8.1 CWE-22

تتعلق هذه الثغرة بنقطة نهاية iControl REST غير معروفة في BIG-IQ تسمح لمستخدم مصرح له بامتيازات منخفضة بإساءة استخدام آلية اجتياز المسار. يمكن للمهاجم استخدام هذا لإنشاء أو تعديل ملفات حساسة على النظام، مما قد يؤدي إلى تصعيد الامتيازات أو تعطيل الخدمات.

CVE-2026-3892

ثغرة حذف ملفات عشوائية في ملحق Motors لـ WordPress عبر اجتياز المسار في رفع الشعار

22:51 KSA

عالٍ CVSS 8.1 CWE-73

ملحق Motors للتجار والإعلانات المصنفة في WordPress يحتوي على ثغرة خطيرة في التحقق من صحة مسار الملف في عملية رفع شعار الموزع. يمكن لأي مستخدم مصرح بمستوى المشترك أو أعلى حذف ملفات عشوائية على الخادم من خلال معالج تحديث الملف الشخصي. هذا يسمح بالوصول غير المصرح به والتأثير على سلا…

CVE-2026-4030

The Database Backup for WordPress plugin for WordPress is vulnerable to unauthorized arbitrary file read and deletion in

22:51 KSA

عالٍ CVSS 8.1 CWE-862

The Database Backup for WordPress plugin for WordPress is vulnerable to unauthorized arbitrary file read and deletion in all versions up to, and including, 2.5.2. This is due to the plugin not properly enforcing the return value of its authorization check combined with a user-con…

CVE-2026-4094

The FOX – Currency Switcher Professional for WooCommerce plugin for WordPress is vulnerable to unauthorized data loss du

02:54 KSA

عالٍ CVSS 8.1 CWE-862

The FOX – Currency Switcher Professional for WooCommerce plugin for WordPress is vulnerable to unauthorized data loss due to a missing capability check on the 'admin_head' function in all versions up to, and including, 1.4.5. This makes it possible for authenticated attackers, wi…

CVE-2026-42463

SQLBot is an intelligent Text-to-SQL system based on large language models and RAG. Prior to 1.8.0, SQLBot contains a Cr

22:51 KSA

عالٍ CVSS 8.1 CWE-639

SQLBot is an intelligent Text-to-SQL system based on large language models and RAG. Prior to 1.8.0, SQLBot contains a Cross-Workspace IDOR (Insecure Direct Object Reference) and Authorization Bypass vulnerability in the /api/v1/datasource/exportDsSchema and /api/v1/datasource/upl…

CVE-2026-43618

تجاوز عدد صحيح في Rsync بفاك تشفير الرموز المضغوطة يمكّن الكشف عن الذاكرة

19:28 KSA

عالٍ CVSS 8.1 CWE-125

تحتوي ثغرة CVE-2026-43618 على عيب في معالجة العداد ذي 32 بت في فك تشفير الرموز المضغوطة في Rsync. يمكن للمهاجم الذي يتحكم في المرسل إرسال بيانات مصنوعة تسبب تجاوز العداد، مما يؤدي إلى قراءة الذاكرة خارج الحدود المقصودة. هذا يسمح بالكشف عن بيانات حساسة مثل كلمات المرور والمتغيرات …

CVE-2026-45584

ثغرة تجاوز المخزن المؤقت في Microsoft Defender لتنفيذ أكواد عن بعد

14:54 KSA

عالٍ CVSS 8.1 CWE-122

ثغرة تجاوز المخزن المؤقت في الذاكرة العميقة في Microsoft Defender تسمح بتنفيذ أكواد عشوائية عن بعد دون الحاجة إلى مصادقة. تؤثر هذه الثغرة على جميع أنظمة Windows التي تستخدم Defender كحل أمان أساسي.

CVE-2026-6282

A potential improper file path validation vulnerability was reported in some Lenovo Personal Cloud Storage devices that

22:51 KSA

عالٍ CVSS 8.1 CWE-22

A potential improper file path validation vulnerability was reported in some Lenovo Personal Cloud Storage devices that could allow a remote authenticated user to move or access files belonging to other users on the same device.

CVE-2026-7635

The coreActivity: Activity Logging for WordPress plugin for WordPress is vulnerable to PHP Object Injection in all versi

22:51 KSA

عالٍ CVSS 8.1 CWE-502

The coreActivity: Activity Logging for WordPress plugin for WordPress is vulnerable to PHP Object Injection in all versions up to, and including, 3.0. This is due to the plugin failing to validate or strip PHP serialization syntax from the User-Agent HTTP header before storing it…

CVE-2026-8629

Crabbox prior to v0.12.0 contains a privilege escalation vulnerability that allows users with shared visibility-only acc

02:54 KSA

عالٍ CVSS 8.1 CWE-639

Crabbox prior to v0.12.0 contains a privilege escalation vulnerability that allows users with shared visibility-only access to obtain Code, WebVNC, and Egress agent tickets by sending POST requests to ticket endpoints. Attackers can exploit insufficient access control checks on t…

CVE-2025-11954

Cross-Site request forgery (CSRF) vulnerability in Sitemio Information Technologies Trade Ltd. Co. WISECP allows Cross S

01:36 KSA

عالٍ CVSS 8.0 CWE-352

Cross-Site request forgery (CSRF) vulnerability in Sitemio Information Technologies Trade Ltd. Co. WISECP allows Cross Site Request Forgery. This issue affects WISECP: through 20022026. NOTE: The vendor was contacted early about this disclosure but did not respond in any way.

CVE-2026-41217

تصعيد امتيازات في F5 BIG-IP TMOS Shell عبر أمر غير معروف

22:51 KSA

عالٍ CVSS 7.9 CWE-732

تؤثر هذه الثغرة على أنظمة F5 BIG-IP TMOS حيث يمكن لمسؤول مصرح بتنفيذ أوامر نظام عشوائية بامتيازات أعلى من خلال أمر tmsh غير معروف. في بيئات وضع الجهاز، قد يسمح الاستغلال الناجح بتجاوز حدود الأمان والوصول إلى موارد محمية.

CVE-2020-37223

IObit Uninstaller 9.5.0.15 contains an unquoted service path vulnerability in the IObitUnSvr service that allows local a

22:51 KSA

عالٍ CVSS 7.8 CWE-428

IObit Uninstaller 9.5.0.15 contains an unquoted service path vulnerability in the IObitUnSvr service that allows local attackers to escalate privileges to SYSTEM level. Attackers can place a malicious executable named IObit.exe in the C:\Program Files (x86)\IObit directory and re…

CVE-2020-37229

OKI sPSV Port Manager 1.0.41 contains an unquoted service path vulnerability in the sPSVOpLclSrv service that allows loc

19:18 KSA

عالٍ CVSS 7.8 CWE-428

OKI sPSV Port Manager 1.0.41 contains an unquoted service path vulnerability in the sPSVOpLclSrv service that allows local attackers to escalate privileges by inserting executable files into the unquoted path. Attackers can place a malicious executable in a directory within the s…

CVE-2020-37230

Syncplify.me Server! 5.0.37 contains an unquoted service path vulnerability in the SMWebRestServicev5 service that allow

19:18 KSA

عالٍ CVSS 7.8 CWE-428

Syncplify.me Server! 5.0.37 contains an unquoted service path vulnerability in the SMWebRestServicev5 service that allows local attackers to escalate privileges by exploiting the unquoted binary path. Attackers can insert a malicious executable into the service path and execute i…

CVE-2020-37231

Privacy Drive 3.17.0 contains an unquoted service path vulnerability in the pdsvc.exe service binary that allows local a

19:18 KSA

عالٍ CVSS 7.8 CWE-428

Privacy Drive 3.17.0 contains an unquoted service path vulnerability in the pdsvc.exe service binary that allows local attackers to escalate privileges by exploiting the service startup process. Attackers can place malicious executables in the unquoted path directories to execute…

CVE-2020-37232

Advanced System Care Service 13.0.0.157 contains an unquoted service path vulnerability in the AdvancedSystemCareService

19:18 KSA

عالٍ CVSS 7.8 CWE-428

Advanced System Care Service 13.0.0.157 contains an unquoted service path vulnerability in the AdvancedSystemCareService13 service binary path that allows local attackers to escalate privileges. Attackers can place malicious executables in the system root path that will be execut…

CVE-2020-37247

Kite 4.2.0.1 U1 contains an unquoted service path vulnerability in the KiteService Windows service that allows local att

19:18 KSA

عالٍ CVSS 7.8 CWE-428

Kite 4.2.0.1 U1 contains an unquoted service path vulnerability in the KiteService Windows service that allows local attackers to escalate privileges by exploiting the service binary path. Attackers can place a malicious executable in the Program Files directory to be executed wi…

CVE-2021-47974

VX Search 13.5.28 contains an unquoted service path vulnerability in both VX Search Server and VX Search Enterprise serv

19:18 KSA

عالٍ CVSS 7.8 CWE-428

VX Search 13.5.28 contains an unquoted service path vulnerability in both VX Search Server and VX Search Enterprise services that allows local attackers to escalate privileges. Attackers can place malicious executables in unquoted path directories like C:\Program Files\VX Search …

CVE-2024-36333

A DLL hijacking vulnerability in the AMD Cleanup Utility could allow an attacker to achieve privilege escalation potenti

02:54 KSA

عالٍ CVSS 7.8 CWE-427

A DLL hijacking vulnerability in the AMD Cleanup Utility could allow an attacker to achieve privilege escalation potentially resulting in arbitrary code execution.

CVE-2025-65086

An Out-of-Bounds Write vulnerability is present in Ashlar-Vellum Cobalt, Xenon, Argon, Lithium, and Cobalt Share version

22:51 KSA

عالٍ CVSS 7.8 CWE-787

An Out-of-Bounds Write vulnerability is present in Ashlar-Vellum Cobalt, Xenon, Argon, Lithium, and Cobalt Share versions 12.6.1204.216 and prior that could allow an attacker to execute arbitrary code when a specially crafted VC6 file is being parsed.

CVE-2025-65087

An Out-of-Bounds Read vulnerability is present in Ashlar-Vellum Cobalt, Xenon, Argon, Lithium, and Cobalt Share versions

22:51 KSA

عالٍ CVSS 7.8 CWE-125

An Out-of-Bounds Read vulnerability is present in Ashlar-Vellum Cobalt, Xenon, Argon, Lithium, and Cobalt Share versions 12.6.1204.216 and prior that could allow an attacker to disclose information or execute arbitrary code when a specially crafted VC6 file is being parsed.

CVE-2025-65088

An Out-of-Bounds Read vulnerability is present in Ashlar-Vellum Cobalt, Xenon, Argon, Lithium, and Cobalt Share versions

22:51 KSA

عالٍ CVSS 7.8 CWE-125

CVE-2026-21020

Improper export of android application components in OmaCP prior to SMR May-2026 Release 1 allows local attackers to tri

22:51 KSA

عالٍ CVSS 7.8

Improper export of android application components in OmaCP prior to SMR May-2026 Release 1 allows local attackers to trigger privileged functions.

CVE-2026-34690

ثغرة تجاوز المخزن المؤقت في Adobe After Effects تسمح بتنفيذ كود عشوائي

22:51 KSA

عالٍ CVSS 7.8 CWE-121

تؤثر هذه الثغرة على After Effects من خلال تجاوز المخزن المؤقت القائم على المكدس عند معالجة ملفات المشاريع الضارة. يمكن للمهاجمين استغلال هذه الثغرة لتنفيذ كود عشوائي بصلاحيات المستخدم الحالي. تتطلب الاستغلال تفاعل المستخدم مثل فتح ملف مشروع ضار.

CVE-2026-41702

ثغرة تصعيد الامتيازات TOCTOU في VMware Fusion SETUID

02:54 KSA

عالٍ CVSS 7.8 CWE-367

تحتوي VMware Fusion على ثغرة تسمى TOCTOU (Time-of-check Time-of-use) في ملف ثنائي يعمل بصلاحيات SETUID. يمكن لمستخدم محلي غير إداري استغلال هذه الثغرة للحصول على صلاحيات الجذر على النظام.

CVE-2026-42290

ثغرة حقن أوامر في protobufjs-cli عبر أحرف Shell الخاصة في مسارات الملفات

05:32 KSA

عالٍ CVSS 7.8 CWE-78

تحتوي أداة pbts في protobufjs-cli على ثغرة حقن أوامر حيث يتم بناء سلسلة أوامر shell من مسارات الملفات المدخلة وتنفيذها مباشرة دون تنظيف مناسب. يمكن للمهاجمين استخدام أحرف shell خاصة مثل النقاط والفواصل المنقوطة والأنابيب لتنفيذ أوامر تعسفية على النظام.

CVE-2026-42834

Improper link resolution before file access ('link following') in Azure Portal Windows Admin Center allows an authorized

12:00 KSA

عالٍ CVSS 7.8 CWE-59

Improper link resolution before file access ('link following') in Azure Portal Windows Admin Center allows an authorized attacker to elevate privileges locally.

CVE-2026-43903

ثغرة تجاوز الذاكرة في فك تشفير RLE لملفات SGI في OpenImageIO

02:54 KSA

عالٍ CVSS 7.8 CWE-787

تحتوي نسخ OpenImageIO السابقة للإصدار 3.0.18.0 و 3.1.13.0 على ثغرة تجاوز الذاكرة في حلقة فك تشفير RLE لملفات SGI. يتم تعطيل فحوصات الحدود في الإصدارات الإنتاجية، مما يسمح بمعالجة بيانات خارج الحدود. يمكن لملف .sgi مصنوع بعناية أن يسبب انهيار التطبيق أو تنفيذ كود عشوائي.

CVE-2026-43904

تجاوز ذاكرة Heap في معالجة RLE بملفات PIC في OpenImageIO

02:54 KSA

عالٍ CVSS 7.8 CWE-787

تحتوي ملفات softimageinput.cpp في OpenImageIO على عيب في معالجة مسارات RLE المختلطة والنقية حيث لا يتم تقييد طول التشغيل بعرض خط المسح المتبقي. يؤدي هذا إلى تجاوز heap يصل إلى 65535 بايت عند معالجة ملفات .pic المصنعة بشكل خاص.

CVE-2026-43905

تجاوز عدد صحيح في OpenImageIO في تخصيص ذاكرة JPEG2000

02:54 KSA

عالٍ CVSS 7.8 CWE-190

تحتوي ملفات jpeg2000input.cpp على خطأ في حساب حجم المخزن المؤقت باستخدام حسابات 32-بت موقعة، مما يؤدي إلى تجاوز عدد صحيح عندما تتجاوز قيمة الضرب (العرض × الارتفاع × القنوات × bpp) INT_MAX. يؤدي هذا إلى تخصيص ذاكرة ناقصة وتجاوز heap لاحق أثناء حلقات كتابة البكسل. الثغرة مشروطة بعل…

CVE-2026-43906

فيضان ذاكرة الكومة في فك تشفير HEIF بـ OpenImageIO

02:54 KSA

عالٍ CVSS 7.8 CWE-122

تؤثر هذه الثغرة على أدوات معالجة الصور المستخدمة في صناعة الرسوم المتحركة والمؤثرات البصرية. يمكن لمهاجم إرسال ملف صورة HEIF معيب يحتوي على بيانات وصفية غير متطابقة لتجاوز حدود الذاكرة وتنفيذ كود تعسفي. قد يؤدي الاستغلال الناجح إلى السيطرة الكاملة على النظام المتأثر.

CVE-2026-45038

Tabby (formerly Terminus) is a highly configurable terminal emulator. Prior to 1.0.233, since Tabby does not escape cont

17:12 KSA

عالٍ CVSS 7.8 CWE-150

Tabby (formerly Terminus) is a highly configurable terminal emulator. Prior to 1.0.233, since Tabby does not escape control characters from file paths when dragging and dropping a file into it, code execution can be achieved. This vulnerability is fixed in 1.0.233.

CVE-2026-46508

Turborepo is a high-performance build system for JavaScript and TypeScript codebases. Prior to 2.9.14000, the Turborepo

10:28 KSA

عالٍ CVSS 7.8 CWE-77

Turborepo is a high-performance build system for JavaScript and TypeScript codebases. Prior to 2.9.14000, the Turborepo LSP VS Code extension could execute shell commands derived from workspace-controlled values. The extension used string-based command execution for Turborepo dae…

CVE-2026-8632

ثغرة حقن الأوامر في برنامج HP Linux Imaging and Printing

00:22 KSA

عالٍ CVSS 7.8 CWE-77

تم تحديد ثغرة أمنية محتملة في برنامج HP Linux Imaging and Printing Software تسمح بحقن أوامر نظام التشغيل. يمكن للمهاجمين استغلال هذه الثغرة لتصعيد الامتيازات والحصول على وصول جذر أو تنفيذ أكواد عشوائية على الأنظمة المتأثرة. تؤثر الثغرة على بيئات Linux المختلفة المستخدمة في حلول ا…

CVE-2026-9144

Taiko AG1000-01A SMS Alert Gateway Rev 7.3 and Rev 8 contains a stored cross-site scripting vulnerability in the embedde

20:55 KSA

عالٍ CVSS 7.6 CWE-79

Taiko AG1000-01A SMS Alert Gateway Rev 7.3 and Rev 8 contains a stored cross-site scripting vulnerability in the embedded web configuration interface that allows authenticated attackers to execute persistent JavaScript by fragmenting malicious payloads across multiple administrat…

CVE-2026-5783

ثغرة XSS المنعكسة في تطبيق Beyaz CityPLus الويب

18:18 KSA

عالٍ CVSS 7.6 CWE-79

تؤثر هذه الثغرة على تطبيق CityPLus من Beyaz قبل الإصدار V24.29750.1.0 وتسمح بحقن رموز JavaScript ضارة عبر معاملات الويب. يمكن للمهاجمين استغلال هذه الثغرة لسرقة جلسات المستخدمين والبيانات الحساسة والتحكم في حسابات المستخدمين.

CVE-2018-25325

ثغرة اجتياز المسار في WooCommerce CSV Importer 3.3.6 لحذف الملفات العشوائية

19:18 KSA

عالٍ CVSS 7.5 CWE-22

ثغرة اجتياز المسار في WooCommerce CSV Importer 3.3.6 تسمح لأي مستخدم مسجل بحذف ملفات عشوائية من خلال تقديم أسماء ملفات غير معالجة عبر إجراء AJAX delete_export_file. يمكن للمهاجمين استخدام تسلسلات اجتياز الدليل مثل ../ لحذف ملفات حساسة خارج دليل التصدير المقصود، بما في ذلك ملفات ا…

CVE-2018-25326

ثغرة اجتياز المسار في Google Drive لـ WordPress 2.2

19:18 KSA

عالٍ CVSS 7.5 CWE-22

تسمح هذه الثغرة للمهاجمين بقراءة ملفات حساسة مثل wp-config.php التي تحتوي على بيانات اعتماد قاعدة البيانات والمفاتيح السرية. يمكن استغلالها من خلال طلبات POST بسيطة دون الحاجة إلى المصادقة. الثغرة تؤثر على جميع مواقع WordPress التي تستخدم الإضافة المعرضة للخطر.

CVE-2018-25329

WordPress Plugin WP with Spritz 1.0 contains a remote file inclusion vulnerability that allows unauthenticated attackers

19:18 KSA

عالٍ CVSS 7.5 CWE-98

WordPress Plugin WP with Spritz 1.0 contains a remote file inclusion vulnerability that allows unauthenticated attackers to read arbitrary files by injecting file paths into the url parameter. Attackers can send GET requests to wp.spritz.content.filter.php with malicious url valu…

CVE-2020-37219

ثغرة اجتياز الدليل وتعداد الملفات في Joomla com_fabrik 3.9.11

22:51 KSA

عالٍ CVSS 7.5 CWE-22

ثغرة اجتياز الدليل في مكون Joomla com_fabrik 3.9.11 تسمح للمهاجمين غير المصرحين بتعداد الملفات التعسفية في أنظمة الملفات. يمكن استغلال الثغرة من خلال إرسال طلبات GET إلى طريقة onAjax_files مع تسلسلات اجتياز المسار. قد يؤدي هذا إلى الكشف عن معلومات حساسة وملفات نظام خارج جذر الويب…

CVE-2020-37220

تجاوز المصادقة في Huawei HG630 V2 عبر استخراج رقم السلسلة

22:51 KSA

عالٍ CVSS 7.5 CWE-798

تحتوي أجهزة توجيه Huawei HG630 V2 على ثغرة حرجة في المصادقة حيث يمكن لأي مهاجم الوصول إلى نقطة نهاية API عامة لاستخراج رقم سلسلة الجهاز. باستخدام آخر 8 أحرف من رقم السلسلة كلمة مرور افتراضية، يمكن للمهاجم الحصول على وصول إداري كامل للجهاز. هذا يسمح بالتحكم الكامل بالشبكة والوصول …

CVE-2020-37245

Supsystic Digital Publications 1.6.9 اجتياز المسار والبرامج النصية المخزنة

19:18 KSA

عالٍ CVSS 7.5 CWE-79

تحتوي نسخة 1.6.9 من Supsystic Digital Publications على ثغرة اجتياز مسار في حقل إدخال المجلد تسمح للمهاجمين بالوصول إلى الملفات خارج جذر الويب. بالإضافة إلى ذلك، يفشل المكون الإضافي في تطهير حقول الإدخال في إعدادات النشر، مما يسمح بهجمات البرامج النصية المخزنة من خلال حقن البرامج …

CVE-2021-47942

ثغرة Path Traversal في HACS 1.10.0 تمكن من الوصول غير المصرح للملفات

19:18 KSA

عالٍ CVSS 7.5 CWE-22

ثغرة path traversal في Home Assistant Community Store (HACS) الإصدار 1.10.0 تسمح للمهاجمين غير المصرح لهم بالوصول إلى الملفات الحساسة عبر نقطة نهاية /hacsfiles/. يمكن للمهاجمين استخراج ملف .storage/auth الذي يحتوي على بيانات اعتماد المستخدم وتوكنات التحديث ثم صياغة توكنات JWT صحي…

CVE-2021-47959

WordPress Plugin WPGraphQL 1.3.5 contains a denial of service vulnerability that allows unauthenticated attackers to exh

17:12 KSA

عالٍ CVSS 7.5 CWE-770

WordPress Plugin WPGraphQL 1.3.5 contains a denial of service vulnerability that allows unauthenticated attackers to exhaust server resources by sending batched GraphQL queries with duplicated fields. Attackers can send POST requests to the GraphQL endpoint with amplified field d…

CVE-2021-47969

ثغرة حجب الخدمة في Color Notes 1.4 عبر إدخال أحرف زائدة

19:18 KSA

عالٍ CVSS 7.5 CWE-789

يسمح هذا الضعف للمهاجمين بإرسال سلاسل أحرف طويلة جداً إلى حقول الملاحظات مما يسبب استهلاك موارد النظام بشكل مفرط. يؤدي هذا إلى توقف التطبيق عن الاستجابة وعدم القدرة على استخدامه من قبل المستخدمين الشرعيين.

CVE-2021-47970

ثغرة حجب الخدمة في Macaron Notes 5.5 عبر إدخال أحرف مفرط

19:18 KSA

عالٍ CVSS 7.5 CWE-789

تحتوي نسخة Macaron Notes 5.5 على ثغرة في معالجة المدخلات تسمح بإدخال سلاسل أحرف غير محدودة. يمكن للمهاجمين استغلال هذه الثغرة لاستهلاك موارد النظام وتعطيل التطبيق بشكل كامل. الثغرة تؤثر على توفر الخدمة وتؤدي إلى فقدان الإنتاجية.

CVE-2021-47971

ثغرة حجب الخدمة في My Notes Safe 5.3 عبر إدخال نصي طويل جداً

19:18 KSA

عالٍ CVSS 7.5 CWE-789

ثغرة حجب الخدمة في My Notes Safe 5.3 تسمح للمهاجمين بتعطيل التطبيق بلصق سلاسل نصية طويلة جداً في حقول الملاحظات. يمكن تفعيل الثغرة بإدراج 350,000 حرف متكرر مرتين في ملاحظة جديدة، مما يسبب توقف فوري للتطبيق.

CVE-2021-47972

Sticky Notes & Color Widgets 1.4.2 contains a denial of service vulnerability that allows attackers to crash the applica

19:18 KSA

عالٍ CVSS 7.5 CWE-789

Sticky Notes & Color Widgets 1.4.2 contains a denial of service vulnerability that allows attackers to crash the application by creating notes with excessively long character strings. Attackers can paste large payloads of repeated characters into note fields to trigger applicatio…

CVE-2021-47973

Sticky Notes Widget 3.0.6 contains a denial of service vulnerability that allows attackers to crash the application by p

19:18 KSA

عالٍ CVSS 7.5 CWE-789

Sticky Notes Widget 3.0.6 contains a denial of service vulnerability that allows attackers to crash the application by pasting excessively long character strings into note fields. Attackers can generate a payload containing 350000 repeated characters and paste it twice into a new…

CVE-2021-47977

WordPress Plugin Anti-Malware Security and Bruteforce Firewall 4.20.59 contains a directory traversal vulnerability that

19:18 KSA

عالٍ CVSS 7.5 CWE-22

WordPress Plugin Anti-Malware Security and Bruteforce Firewall 4.20.59 contains a directory traversal vulnerability that allows unauthenticated attackers to read arbitrary files by manipulating the file parameter. Attackers can send requests to the duplicator_download action via …

CVE-2026-1250

ثغرة حقن SQL في إضافة Court Reservation لـ WordPress عبر معامل المعرف

22:51 KSA

عالٍ CVSS 7.5 CWE-89

تحتوي إضافة Court Reservation للحجز عبر الإنترنت على ثغرة حقن SQL خطيرة في معامل 'id' حيث لا يتم التحقق من صحة المدخلات بشكل كافٍ. يمكن للمهاجمين غير المصرح لهم استغلال هذه الثغرة لتنفيذ استعلامات SQL إضافية واستخراج بيانات حساسة من قاعدة البيانات.

CVE-2026-20239

In Splunk Enterprise versions below 10.2.2 and 10.0.5, and Splunk Cloud Platform versions below 10.3.2512.8, 10.2.2510.1

03:23 KSA

عالٍ CVSS 7.5 CWE-532

In Splunk Enterprise versions below 10.2.2 and 10.0.5, and Splunk Cloud Platform versions below 10.3.2512.8, 10.2.2510.11, 10.1.2507.21, and 10.0.2503.13, a user with a role that has access to the `_internal` index could view session cookies and response bodies that contain sensi…

CVE-2026-23998

تجاوز التحقق من شهادة عميل Fleet Windows MDM (CVE-2026-23998)

02:54 KSA

عالٍ CVSS 7.5 CWE-295

تعاني نسخ Fleet السابقة من الإصدار 4.81.0 من فشل في التحقق من شهادات mTLS للعملاء في نقطة نهاية إدارة Windows MDM. يمكن للمهاجمين الذين يعرفون معرف جهاز مسجل صحيح انتحال هوية الجهاز واستقبال حمولات التكوين المقصودة له. قد تحتوي هذه الحمولات على بيانات حساسة مثل بيانات اعتماد Wi-F…

CVE-2026-27886

هجوم Boolean-Oracle غير المصرح به على رموز إعادة تعيين المسؤول في Strapi

02:54 KSA

عالٍ CVSS 7.5 CWE-22

تحتوي نسخ Strapi من 4.0.0 إلى 5.36.x على ثغرة في تصفية المحتوى عبر الحقول العلائقية حيث لا يتم تطهير معاملات الاستعلام بشكل كافٍ. يمكن للمهاجمين استخدام هجمات boolean-oracle للاستعلام عن الحقول الخاصة في جدول admin_users، بما في ذلك رموز إعادة تعيين كلمات المرور. يؤدي استخراج رمز…

CVE-2026-3039

استنزاف ذاكرة BIND TKEY GSS-API لرفض الخدمة

01:36 KSA

عالٍ CVSS 7.5 CWE-771

خادم BIND DNS المكون لاستخدام المصادقة المستندة إلى TKEY عبر رموز GSS-API يعاني من ثغرة في معالجة الحزم المصممة بشكل ضار. يمكن للمهاجمين استغلال هذه الثغرة لاستنزاف موارد الذاكرة بشكل مفرط مما يؤدي إلى رفض الخدمة. تؤثر هذه المشكلة بشكل أساسي على بيئات Active Directory المدمجة وبي…

CVE-2026-34645