135
ثغرة
9
تهديد
0
خبر
1
حرجة
1
CISA KEV
🛡 الثغرات الأمنية (CVE)
CVE-2026-9082
Drupal Core — CVE-2026-9082
Drupal Core contains a SQL injection vulnerability that could allow for privilege escalation
05:16 KSA
Drupal Core — CVE-2026-9082
Drupal Core contains a SQL injection vulnerability that could allow for privilege escalation and remote code execution via specially crafted requests sent with the database abstraction API.
Required Action: Apply mitigations per vendor instructions, f…
CVE-2018-25353
ثغرة تحميل ملفات تعسفية في إضافة Redaxo CMS Mediapool عبر تجاوز التحقق من الامتدادات
20:52 KSA
تحتوي إضافة Redaxo CMS Mediapool في الإصدارات 5.5.1 والأقدم على ثغرة تحميل ملفات تعسفية تسمح للمستخدمين المصرح لهم بتجاوز قيود قائمة امتدادات الملفات المحظورة. يمكن للمهاجمين الذين لديهم حسابات محرر تحميل ملفات قابلة للتنفيذ باستخدام امتدادات مموهة مثل php71 أو php53 لتنفيذ أكواد…
CVE-2026-47101
LiteLLM prior to 1.83.14 allows an authenticated internal_user to create API keys with access to routes that their role
22:00 KSA
LiteLLM prior to 1.83.14 allows an authenticated internal_user to create API keys with access to routes that their role does not permit. When generating a key, the allowed_routes field is stored without verifying that the specified routes fall within the user's own permissions. A…
CVE-2026-47102
LiteLLM prior to 1.83.10 allows a user to modify their own user_role via the /user/update endpoint. While the endpoint c
22:00 KSA
LiteLLM prior to 1.83.10 allows a user to modify their own user_role via the /user/update endpoint. While the endpoint correctly restricts users to updating only their own account, it does not restrict which fields may be changed. A user who can reach this endpoint can set their …
CVE-2026-47114
IINA before 1.4.3 contains a user-assisted command execution vulnerability that allows remote attackers to execute arbit
22:00 KSA
IINA before 1.4.3 contains a user-assisted command execution vulnerability that allows remote attackers to execute arbitrary commands by supplying malicious mpv_-prefixed query parameters through the iina://open custom URL scheme handler. Attackers can deliver a crafted URL via a…
يحتوي مكون WishList Member على ثغرة في دالة ajax_get_screen() حيث يفتقد فحوصات القدرة والتحقق من الرموز (nonce)، مما يسمح للمستخدمين المصرحين بمستوى المشترك بالوصول إلى قوالب API الإدارية. يؤدي هذا إلى كشف مفتاح REST API السري بصيغة نصية في استجابة AJAX، مما يمكّن المهاجمين من ال…
يحتوي مكون WishList Member على ثغرة في التفويض تسمح بالكشف عن مفاتيح REST API السرية من خلال استدعاءات AJAX غير المصرح بها. يمكن للمهاجمين استخدام هذه المفاتيح للوصول إلى واجهة برمجة التطبيقات وإنشاء حسابات بصلاحيات إدارية كاملة. هذا يؤدي إلى السيطرة الكاملة على موقع WordPress وا…
يحتوي مكون Wishlist Member على عيب في التحقق من الصلاحيات في دالة save_settings التي تسمح للمستخدمين المصرحين بتعديل خيارات المكون التعسفية. يمكن للمهاجمين استخدام هذه الثغرة لتعديل مفتاح سر REST API وإنشاء حسابات مسؤول جديدة. هذا يؤدي إلى السيطرة الكاملة على موقع WordPress والبي…
CVE-2026-6898
ثغرة إنشاء مفاتيح API غير المصرح بها في إضافة Wishlist Member والاستيلاء على المسؤول
20:52 KSA
تحتوي إضافة Wishlist Member على عيب في التحقق من الصلاحيات في دالة generate_api_key مما يسمح للمستخدمين المصرح لهم بمستوى المشترك أو أعلى بإنشاء مفاتيح API سرية. يمكن استخدام هذه المفاتيح لإنشاء مستويات عضوية جديدة بصلاحيات المسؤول وتسجيل حسابات مسؤول تعسفية. هذا يؤدي إلى السيطرة…
CVE-2026-9018
The Easy Elements for Elementor – Addons & Website Templates plugin for WordPress is vulnerable to Privilege Escalation
22:00 KSA
The Easy Elements for Elementor – Addons & Website Templates plugin for WordPress is vulnerable to Privilege Escalation in all versions up to, and including, 1.4.5 via the `easyel_handle_register()` function. This is due to the `wp_ajax_nopriv_eel_register` AJAX handler iterating…
تؤثر هذه الثغرة على معالج طلبات POST في جهاز التوجيه Edimax BR-6428NS من خلال معامل pppUserName غير المحقق فيه في وظيفة formWanTcpipSetup. يمكن للمهاجمين البعيدين استغلال هذا الضعف لتنفيذ تعليمات برمجية عشوائية على الجهاز المتأثر. عدم استجابة البائع للإفصاح المبكر يزيد من خطورة ا…
CVE-2026-9295
ثغرة تجاوز المخزن المؤقت في معالج الإعدادات اللاسلكية لجهاز Edimax BR-6428NS
20:52 KSA
ثغرة تجاوز المخزن المؤقت في دالة formWirelessTbl بملف /goform/formWirelessTbl في معالج طلبات POST لجهاز Edimax BR-6428NS الإصدار 1.10. يمكن استغلال الثغرة عن بعد من خلال معالجة معامل vapurl بشكل ضار لتنفيذ أوامر عشوائية.
CVE-2018-25344
تجاوز المخزن المؤقت القائم على المكدس في برنامج 10-Strike Network Inventory Explorer 8.54
20:52 KSA
يحتوي برنامج 10-Strike Network Inventory Explorer الإصدار 8.54 على ثغرة تجاوز مخزن مؤقت قائمة على المكدس في حقل إدخال مفتاح التسجيل. يمكن للمهاجمين المحليين استغلال هذه الثغرة بإنشاء سلسلة نصية خاصة تحتوي على 4188 بايت من الحشو متبوعة بقيم سلسلة معالج الاستثناءات والرمز الضار. يؤ…
يؤثر هذا الضعف على 10-Strike Network Scanner الإصدار 3.0 ويسمح بتجاوز حد المخزن المؤقت المحلي في حقل اسم المضيف. يمكن للمهاجمين المحليين استغلال هذه الثغرة لتجاوز آليات الحماية SafeSEH وتنفيذ أكواد عشوائية على النظام المتأثر.
ثغرة تجاوز المخزن المؤقت المحلي في Audiograbber 1.83 تسمح للمهاجمين بتنفيذ أكواد عشوائية من خلال حقول Interpret أو Album. يستغل المهاجمون آليات معالجة الاستثناءات المنظمة (SEH) لكتابة المؤشرات وتنفيذ أكواد ضارة بامتيازات التطبيق.
يؤثر هذا الضعف على SIPp 3.6 والإصدارات الأقدم من خلال ثغرة تجاوز المخزن المؤقت في معالجة معاملات سطر الأوامر. يمكن للمهاجمين المحليين استغلال هذه الثغرة بتوفير مدخلات كبيرة الحجم لمعاملات محددة مما يؤدي إلى تعطيل التطبيق أو تنفيذ رمز عشوائي.
CVE-2018-25340
Smartshop 1 contains a SQL injection vulnerability that allows unauthenticated attackers to execute arbitrary SQL querie
20:52 KSA
Smartshop 1 contains a SQL injection vulnerability that allows unauthenticated attackers to execute arbitrary SQL queries by injecting malicious code through the id parameter. Attackers can send GET requests to category.php with UNION-based SQL injection payloads in the id parame…
تحتوي نسخة Smartshop 1 على ثغرة حقن SQL خطيرة في ملف product.php حيث يمكن للمهاجمين غير المصرحين إرسال طلبات GET تحتوي على حمولات حقن SQL قائمة على الاتحاد. تسمح هذه الثغرة باستخراج بيانات حساسة من قاعدة البيانات مثل أسماء المستخدمين وأسماء قواعد البيانات دون الحاجة للمصادقة.
CVE-2018-25342
Smartshop 1 contains a time-based blind SQL injection vulnerability that allows unauthenticated attackers to manipulate
20:52 KSA
Smartshop 1 contains a time-based blind SQL injection vulnerability that allows unauthenticated attackers to manipulate database queries by injecting SQL code through the 'searched' parameter in search.php. Attackers can send GET requests with malicious SQL payloads like SLEEP co…
CVE-2018-25348
Joomla! Component Ek Rishta 2.10 contains an SQL injection vulnerability that allows unauthenticated attackers to manipu
20:52 KSA
Joomla! Component Ek Rishta 2.10 contains an SQL injection vulnerability that allows unauthenticated attackers to manipulate database queries by injecting SQL code through the cid parameter. Attackers can send GET requests to the user_detail view with malicious cid values contain…
CVE-2026-24188
NVIDIA TensorRT contains a vulnerability where an attacker could cause an out-of-bounds write. A successful exploit of t
03:00 KSA
NVIDIA TensorRT contains a vulnerability where an attacker could cause an out-of-bounds write. A successful exploit of this vulnerability might lead to data tampering.
CVE-2026-48235
Open ISES Tickets before 3.44.2 contains a SQL injection vulnerability in incs/remotes.inc.php where latitude, longitude
22:00 KSA
Open ISES Tickets before 3.44.2 contains a SQL injection vulnerability in incs/remotes.inc.php where latitude, longitude, callsign, mph, altitude, and timestamp values parsed from external GPS tracking service XML/JSON responses (InstaMapper and Google Latitude integration) are c…
CVE-2026-9284
The WooCommerce PayPal Payments plugin for WordPress is vulnerable to unauthorized order manipulation and information di
20:52 KSA
The WooCommerce PayPal Payments plugin for WordPress is vulnerable to unauthorized order manipulation and information disclosure due to missing authorization checks on the `ppc-create-order` and `ppc-get-order` WC-AJAX endpoints in all versions up to, and including, 4.0.1. The `p…
يكشف هذا الضعف عن بيانات اعتماد MySQL المشفرة بشكل ثابت في ملف loader.php العام في Open ISES Tickets. يمكن لأي شخص لديه وصول إلى مستودع المصدر أو ملف التثبيت المنشور استخراج بيانات الاعتماد والاتصال بقاعدة البيانات إذا كانت قابلة للوصول من شبكتهم. هذا يؤدي إلى انتهاك كامل لسرية و…
يحتوي ملف import_mdb.php في Open ISES Tickets على بيانات اعتماد MySQL مشفرة بشكل ثابت مباشرة في الكود المصدري. تم الكشف عن هذه البيانات في المستودع العام مما يسمح لأي شخص بالوصول إليها واستخدامها للوصول غير المصرح به إلى قواعد البيانات. يشكل هذا خطراً كبيراً على أمان البيانات وال…
تفشل دالة skb_try_coalesce() في نواة Linux في الحفاظ على علامة الشظايا المشتركة (SKBFL_SHARED_FRAG) عند نقل الشظايا المرقمة من حزمة إلى أخرى. يؤدي هذا إلى كسر الثوابت الأمنية التي تعتمد عليها عمليات فك التشفير في بروتوكول ESP، مما قد يسمح بفك تشفير البيانات مباشرة على ذاكرة التخز…
CVE-2026-33633
Kitty is a cross-platform GPU based terminal. Versions 0.46.2 and below contain a heap buffer overflow in load_image_dat
06:32 KSA
Kitty is a cross-platform GPU based terminal. Versions 0.46.2 and below contain a heap buffer overflow in load_image_data() that allows any process which can write to the terminal's stdin to crash kitty immediately. The vulnerability is triggered by a single APC graphics protocol…
ثغرة حقن SQL في إضافة WP ERP Pro تؤثر على جميع الإصدارات حتى 1.5.1 عبر معامل البحث غير المحمي. يمكن للمهاجمين غير المصرحين تنفيذ استعلامات SQL عشوائية واستخراج البيانات الحساسة من قاعدة البيانات. الثغرة ناتجة عن عدم كفاية التحقق من صحة المدخلات وتحضير الاستعلامات.
ثغرة Insecure Direct Object Reference في إضافة AudioIgniter للووردبريس تسمح للمهاجمين غير المصرح لهم بالوصول إلى بيانات تعريف قوائم التشغيل دون التحقق من المصادقة أو الصلاحيات. يمكن للمهاجمين الوصول إلى معلومات حساسة مثل روابط الصوت وروابط التحميل والصور المصغرة من أي قائمة بغض ا…
إضافة Ditty لـ WordPress تحتوي على ثغرة تجاوز تفويض في نقطة نهاية AJAX ditty_init التي تسمح للمهاجمين غير المصرح لهم باسترجاع محتوى غير عام. يمكن للمهاجمين تعداد معرفات المنشورات للوصول إلى المسودات والمنشورات المعلقة والمجدولة والمعطلة.
CVE-2018-25346
WordPress Form Maker Plugin 1.12.24 and below contains SQL injection vulnerabilities that allow authenticated attackers
20:52 KSA
WordPress Form Maker Plugin 1.12.24 and below contains SQL injection vulnerabilities that allow authenticated attackers to manipulate database queries by injecting SQL code through the FormMakerSQLMapping and generete_csv actions. Attackers can submit POST requests with malicious…
CVE-2018-25347
WordPress Contact Form Maker Plugin 1.12.20 contains SQL injection vulnerabilities that allow authenticated attackers to
20:52 KSA
WordPress Contact Form Maker Plugin 1.12.20 contains SQL injection vulnerabilities that allow authenticated attackers to manipulate database queries through the FormMakerSQLMapping and generete_csv_fmc AJAX actions. Attackers can inject malicious SQL code via the 'name' and 'sear…
CVE-2018-25352
WordPress Ultimate Form Builder Lite plugin version 1.3.7 and below contains an SQL injection vulnerability that allows
20:52 KSA
WordPress Ultimate Form Builder Lite plugin version 1.3.7 and below contains an SQL injection vulnerability that allows authenticated attackers to manipulate database queries by injecting SQL code through the entry_id POST parameter. Attackers can send POST requests to the admin-…
ثغرة حقن SQL في ملف tables.php بـ Open ISES Tickets تسمح للمهاجمين المصرح لهم بتعديل استعلامات SQL من خلال معاملات POST غير المنظفة. يمكن للمهاجمين قراءة أو تعديل أو حذف محتويات قاعدة البيانات بالكامل. الثغرة تؤثر على جميع الإصدارات السابقة للإصدار 3.44.2.
ثغرة حقن SQL في Open ISES Tickets تؤثر على الإصدارات السابقة للإصدار 3.44.2 حيث يتم دمج معامل offset GET مباشرة في جملة LIMIT دون تنظيف. يمكن للمهاجمين المصرح لهم بالوصول استغلال هذه الثغرة للوصول غير المصرح به إلى بيانات قاعدة البيانات أو تعديلها أو حذفها.
يؤثر هذا الضعف على نظام Open ISES Tickets حيث يتم دمج معامل offset مباشرة في جملة LIMIT دون تنظيف. يمكن للمستخدمين المصرح لهم بالوصول استغلال هذا الضعف لتنفيذ استعلامات SQL عشوائية والوصول إلى بيانات حساسة أو تعديلها.
ثغرة حقن SQL في ملف portal/ajax/list_requests.php تسمح للمهاجمين المصرح لهم بتعديل استعلامات SQL من خلال معاملات sort و dir غير المعقمة. يمكن للمهاجمين قراءة أو تعديل أو حذف محتويات قاعدة البيانات بالكامل. هذه الثغرة تؤثر على جميع إصدارات Open ISES Tickets قبل 3.44.2.
تحتوي ثغرة حقن SQL على معاملات POST متعددة (ticketsdb, ticketshost, ticketsuser, ticketspassword) يتم دمجها مباشرة في وسائط اتصال mysqli دون تطهير أو التحقق من الصحة. يمكن للمهاجمين المصرح لهم تعديل دلالات الاستعلام لتنفيذ عمليات SQL عشوائية ضد قاعدة البيانات المستهدفة.
ثغرة حقن SQL في Open ISES Tickets تسمح للمستخدمين المصرح لهم بتعديل استعلامات SQL من خلال معاملات غير معقمة. يمكن للمهاجمين الوصول إلى بيانات حساسة أو تعديل سجلات التذاكر والرسائل أو حذفها. الثغرة تؤثر على جميع الإصدارات قبل 3.44.2.
ثغرة حقن SQL في ملف ajax/mobile_main.php حيث يتم دمج معامل GET بدون تعقيم في جملة WHERE لاستعلام SELECT. يمكن للمهاجمين المصرحين استغلال هذه الثغرة للوصول غير المصرح به إلى بيانات قاعدة البيانات وتعديلها أو حذفها.
تحتوي Open ISES Tickets على ثغرة حقن SQL في وحدة التقارير حيث يتم دمج معامل tick_id مباشرة في استعلامات SQL دون تنظيف. يمكن للمستخدمين المصرح لهم بالوصول استخدام هذه الثغرة لتنفيذ استعلامات SQL عشوائية والوصول إلى بيانات حساسة أو تعديلها.
تحتوي نسخ Open ISES Tickets السابقة للإصدار 3.44.2 على ثغرة حقن SQL في ملف ajax/statistics.php حيث يتم دمج معاملات POST (tick_id و f_tick_id) مباشرة في جمل WHERE دون تنظيف أو التحقق من صحتها. يمكن للمهاجمين المصرحين بهم استغلال هذه الثغرة لتعديل دلالات الاستعلام والوصول إلى بيانا…
CVE-2026-35070
Dell SmartFabric Storage Software, versions prior to 1.4.5, contains an Improper Neutralization of Special Elements used
04:32 KSA
Dell SmartFabric Storage Software, versions prior to 1.4.5, contains an Improper Neutralization of Special Elements used in a Command ('Command Injection') vulnerability. A high privileged attacker with local access could potentially exploit this vulnerability, leading to Filesys…
CVE-2026-7509
The KIA Subtitle plugin for WordPress is vulnerable to Stored Cross-Site Scripting via the plugin's `the-subtitle` short
12:18 KSA
The KIA Subtitle plugin for WordPress is vulnerable to Stored Cross-Site Scripting via the plugin's `the-subtitle` shortcode `before` and `after` attributes in all versions up to, and including, 4.0.1. This is due to insufficient input sanitization and output escaping on user sup…
CVE-2026-9104
The Draft List plugin for WordPress is vulnerable to Stored Cross-Site Scripting via Draft Post Title in all versions up
12:18 KSA
The Draft List plugin for WordPress is vulnerable to Stored Cross-Site Scripting via Draft Post Title in all versions up to, and including, 2.6.3 due to insufficient input sanitization and output escaping. This makes it possible for authenticated attackers, with author-level acce…
CVE-2026-9342
A security flaw has been discovered in SourceCodester Hospitals Patient Records Management System 1.0. Impacted is an un
20:16 KSA
A security flaw has been discovered in SourceCodester Hospitals Patient Records Management System 1.0. Impacted is an unknown function of the file /admin/patients/view_history.php. The manipulation of the argument ID results in sql injection. The attack may be launched remotely. …
CVE-2026-9343
A weakness has been identified in Edimax EW-7438RPn up to 1.31. The affected element is the function formWpsStart of the
20:16 KSA
A weakness has been identified in Edimax EW-7438RPn up to 1.31. The affected element is the function formWpsStart of the file /goform/formWpsStart of the component webs. This manipulation of the argument pinCode causes os command injection. Remote exploitation of the attack is po…
CVE-2017-20239
MDwiki contains a cross-site scripting vulnerability that allows remote attackers to execute arbitrary JavaScript by inj
21:00 KSA
MDwiki contains a cross-site scripting vulnerability that allows remote attackers to execute arbitrary JavaScript by injecting malicious code through the location hash parameter. Attackers can craft URLs with JavaScript payloads in the hash fragment that are parsed and rendered w…
CVE-2018-25269
ICEWARP 11.0.0.0 contains a cross-site scripting vulnerability that allows attackers to inject malicious HTML elements i
06:10 KSA
ICEWARP 11.0.0.0 contains a cross-site scripting vulnerability that allows attackers to inject malicious HTML elements into emails by embedding base64-encoded payloads in object and embed tags. Attackers can craft emails containing data URIs with embedded scripts that execute in …
يؤثر هذا الضعف على userSpice 4.3.24 حيث يمكن للمهاجمين حقن برامج نصية ضارة عبر رأس HTTP X-Forwarded-For في نقطة نهاية backup.php. عند زيارة المسؤول لصفحة سجل التدقيق، يتم تنفيذ البرنامج النصي الضار في سياق جلسة المسؤول. هذا يسمح بسرقة الجلسات والوصول غير المصرح به إلى البيانات ال…
CVE-2021-47967
PHP Timeclock 1.04 contains multiple cross-site scripting vulnerabilities that allow unauthenticated attackers to inject
10:36 KSA
PHP Timeclock 1.04 contains multiple cross-site scripting vulnerabilities that allow unauthenticated attackers to inject arbitrary JavaScript by manipulating URL paths and POST parameters. Attackers can append malicious payloads to login.php, timeclock.php, audit.php, and timerpt…
CVE-2022-50943
Moodle LMS 4.0 contains a cross-site scripting vulnerability that allows unauthenticated attackers to inject malicious s
20:16 KSA
Moodle LMS 4.0 contains a cross-site scripting vulnerability that allows unauthenticated attackers to inject malicious scripts by submitting payloads through the search parameter. Attackers can inject JavaScript code via the search field in course/search.php to execute arbitrary …
CVE-2022-50957
Drupal avatar_uploader 7.x-1.0-beta8 contains a reflected cross-site scripting vulnerability that allows unauthenticated
20:16 KSA
Drupal avatar_uploader 7.x-1.0-beta8 contains a reflected cross-site scripting vulnerability that allows unauthenticated attackers to inject malicious scripts by manipulating the file parameter. Attackers can craft URLs with script payloads in the file parameter of avatar_uploade…
CVE-2022-50958
WordPress Plugin Jetpack 9.1 contains a reflected cross-site scripting vulnerability that allows unauthenticated attacke
20:16 KSA
WordPress Plugin Jetpack 9.1 contains a reflected cross-site scripting vulnerability that allows unauthenticated attackers to inject malicious scripts by manipulating the post_id parameter. Attackers can craft URLs to the grunion-form-view.php endpoint with script payloads in the…
CVE-2022-50959
WordPress Contact Form Builder 1.6.1 contains a reflected cross-site scripting vulnerability that allows unauthenticated
20:16 KSA
WordPress Contact Form Builder 1.6.1 contains a reflected cross-site scripting vulnerability that allows unauthenticated attackers to inject malicious scripts by exploiting the form_id parameter. Attackers can craft malicious URLs to code_generator.php with script payloads in the…
CVE-2022-50960
WordPress International Sms For Contact Form 7 Integration version 1.2 contains a reflected cross-site scripting vulnera
20:16 KSA
WordPress International Sms For Contact Form 7 Integration version 1.2 contains a reflected cross-site scripting vulnerability in the page parameter of the admin settings interface. Attackers can inject malicious scripts through the page parameter in class-sms-log-display.php to …
CVE-2022-50962
uBidAuction 2.0.1 contains a reflected cross-site scripting vulnerability in the orders/myOrders module. The date_create
20:16 KSA
uBidAuction 2.0.1 contains a reflected cross-site scripting vulnerability in the orders/myOrders module. The date_created, date_from, date_to, and created_at parameters in the filter functionality are not properly sanitized, allowing remote attackers to inject malicious scripts v…
CVE-2022-50963
uBidAuction 2.0.1 contains a reflected cross-site scripting vulnerability in the auctions/myAuctions/status/active modul
20:16 KSA
uBidAuction 2.0.1 contains a reflected cross-site scripting vulnerability in the auctions/myAuctions/status/active module. The date_created, date_from, date_to, and created_at parameters in the filter functionality are not properly sanitized, allowing remote attackers to inject m…
CVE-2022-50964
uBidAuction 2.0.1 contains a reflected cross-site scripting vulnerability in the auctions/myAuctions/status/loose module
20:16 KSA
uBidAuction 2.0.1 contains a reflected cross-site scripting vulnerability in the auctions/myAuctions/status/loose module. The date_created, date_from, date_to, and created_at parameters in the filter functionality are not properly sanitized, allowing remote attackers to inject ma…
CVE-2022-50965
uBidAuction 2.0.1 contains a reflected cross-site scripting vulnerability in the posts/manage module. The date_created,
20:16 KSA
uBidAuction 2.0.1 contains a reflected cross-site scripting vulnerability in the posts/manage module. The date_created, date_from, date_to, and created_at parameters in the filter functionality are not properly sanitized, allowing remote attackers to inject malicious scripts via …
CVE-2022-50966
uBidAuction 2.0.1 contains a reflected cross-site scripting vulnerability in the news/manage module. The date_created, d
20:16 KSA
uBidAuction 2.0.1 contains a reflected cross-site scripting vulnerability in the news/manage module. The date_created, date_from, date_to, and created_at parameters in the filter functionality are not properly sanitized, allowing remote attackers to inject malicious scripts via c…
CVE-2022-50967
uBidAuction 2.0.1 contains a reflected cross-site scripting vulnerability in the tickets/manage module. The date_created
20:16 KSA
uBidAuction 2.0.1 contains a reflected cross-site scripting vulnerability in the tickets/manage module. The date_created, date_from, date_to, and created_at parameters in the filter functionality are not properly sanitized, allowing remote attackers to inject malicious scripts vi…
CVE-2022-50968
uBidAuction 2.0.1 contains a reflected cross-site scripting vulnerability in the auctions/manage module. The date_create
20:16 KSA
uBidAuction 2.0.1 contains a reflected cross-site scripting vulnerability in the auctions/manage module. The date_created, date_from, date_to, and created_at parameters in the filter functionality are not properly sanitized, allowing remote attackers to inject malicious scripts v…
CVE-2022-50969
uBidAuction 2.0.1 contains a reflected cross-site scripting vulnerability in the backend/mailingLog/manage module. The d
20:16 KSA
uBidAuction 2.0.1 contains a reflected cross-site scripting vulnerability in the backend/mailingLog/manage module. The date_created, date_from, date_to, and created_at parameters in the filter functionality are not properly sanitized, allowing remote attackers to inject malicious…
CVE-2023-54349
AmazCart CMS 3.4 contains a reflected cross-site scripting vulnerability that allows unauthenticated attackers to inject
19:48 KSA
AmazCart CMS 3.4 contains a reflected cross-site scripting vulnerability that allows unauthenticated attackers to inject malicious scripts by submitting payloads through the search functionality. Attackers can enter script tags in the search box to execute arbitrary JavaScript th…
CVE-2023-54358
WordPress adivaha Travel Plugin 2.3 contains a reflected cross-site scripting vulnerability that allows unauthenticated
04:48 KSA
WordPress adivaha Travel Plugin 2.3 contains a reflected cross-site scripting vulnerability that allows unauthenticated attackers to inject malicious scripts by manipulating the isMobile parameter. Attackers can craft malicious URLs containing JavaScript payloads in the isMobile …
CVE-2023-54360
Joomla JLex Review 6.0.1 contains a reflected cross-site scripting vulnerability that allows attackers to inject malicio
04:48 KSA
Joomla JLex Review 6.0.1 contains a reflected cross-site scripting vulnerability that allows attackers to inject malicious scripts by manipulating the review_id URL parameter. Attackers can craft malicious links containing JavaScript payloads that execute in victims' browsers whe…
CVE-2023-54361
Joomla iProperty Real Estate 4.1.1 contains a reflected cross-site scripting vulnerability that allows attackers to inje
04:48 KSA
Joomla iProperty Real Estate 4.1.1 contains a reflected cross-site scripting vulnerability that allows attackers to inject malicious scripts by manipulating the filter_keyword parameter. Attackers can craft URLs containing JavaScript payloads in the filter_keyword GET parameter o…
CVE-2023-54362
Joomla VirtueMart Shopping-Cart 4.0.12 contains a reflected cross-site scripting vulnerability that allows attackers to
04:48 KSA
Joomla VirtueMart Shopping-Cart 4.0.12 contains a reflected cross-site scripting vulnerability that allows attackers to inject malicious scripts by manipulating the keyword parameter. Attackers can craft malicious URLs containing script payloads in the keyword parameter of the pr…
CVE-2023-54363
Joomla Solidres 2.13.3 contains a reflected cross-site scripting vulnerability that allows unauthenticated attackers to
04:48 KSA
Joomla Solidres 2.13.3 contains a reflected cross-site scripting vulnerability that allows unauthenticated attackers to inject malicious scripts by manipulating multiple GET parameters including show, reviews, type_id, distance, facilities, categories, prices, location, and Itemi…
CVE-2023-54364
Joomla HikaShop 4.7.4 contains a reflected cross-site scripting vulnerability that allows unauthenticated attackers to i
04:48 KSA
Joomla HikaShop 4.7.4 contains a reflected cross-site scripting vulnerability that allows unauthenticated attackers to inject malicious scripts by manipulating GET parameters in the product filter endpoint. Attackers can craft malicious URLs containing XSS payloads in the from_op…
CVE-2024-13362
Multiple plugins and/or themes for WordPress are vulnerable to Reflected Cross-Site Scripting via the url parameter in v
16:55 KSA
Multiple plugins and/or themes for WordPress are vulnerable to Reflected Cross-Site Scripting via the url parameter in various versions due to insufficient input sanitization and output escaping. This makes it possible for unauthenticated attackers to inject arbitrary web scripts…
CVE-2025-13910
The WP-WebAuthn plugin for WordPress is vulnerable to Unauthenticated Stored Cross-Site Scripting via the `wwa_auth` AJA
05:45 KSA
The WP-WebAuthn plugin for WordPress is vulnerable to Unauthenticated Stored Cross-Site Scripting via the `wwa_auth` AJAX endpoint in all versions up to, and including, 1.3.4 due to insufficient input sanitization and output escaping on user supplied attributes logged by the plug…
CVE-2025-15345
The MapGeo – Interactive Geo Maps plugin for WordPress is vulnerable to Reflected Cross-Site Scripting via the 'map' par
02:48 KSA
The MapGeo – Interactive Geo Maps plugin for WordPress is vulnerable to Reflected Cross-Site Scripting via the 'map' parameter in the display-map shortcode in all versions up to, and including, 1.6.27 due to insufficient input sanitization and output escaping. This makes it possi…
CVE-2025-40842
Ericsson Indoor Connect 8855 versions prior to 2025.Q3 contains a
Cross-Site Scripting (XSS) vulnerability which, if exp
11:08 KSA
Ericsson Indoor Connect 8855 versions prior to 2025.Q3 contains a
Cross-Site Scripting (XSS) vulnerability which, if exploited, can lead to
unauthorized disclosure and modification of certain information.
ثغرة XSS المنعكسة في GDTaller تسمح للمهاجمين بتنفيذ كود JavaScript عشوائي عبر معامل 'site' في صفحة تسجيل الدخول. يمكن للمهاجمين استغلال هذه الثغرة لسرقة بيانات اعتماد المستخدمين وخطف الجلسات وتوزيع البرامج الضارة.
ثغرة XSS المنعكسة في GDTaller تسمح للمهاجمين بتنفيذ كود JavaScript عشوائي في متصفح الضحية من خلال معامل 'site' في ملف app_recuperarclave.php. يمكن للمهاجمين استغلال هذه الثغرة لسرقة بيانات اعتماد المستخدمين وخطف الجلسات وتوزيع البرامج الضارة.
CVE-2025-47406
Information Disclosure while processing IOCTL handler callbacks without verifying buffer size.
23:21 KSA
Information Disclosure while processing IOCTL handler callbacks without verifying buffer size.
CVE-2025-52475
Chamilo is a learning management system. Prior to version 1.11.30, there is a reflected cross-site scripting (XSS) vulne
02:48 KSA
Chamilo is a learning management system. Prior to version 1.11.30, there is a reflected cross-site scripting (XSS) vulnerability in the admin/user_list.php endpoint. The keyword_inactive parameter is not properly sanitized, allowing attackers to inject malicious JavaScript throug…
CVE-2025-52476
Chamilo is a learning management system. Prior to version 1.11.30, there is a reflected cross-site scripting (XSS) vulne
02:48 KSA
Chamilo is a learning management system. Prior to version 1.11.30, there is a reflected cross-site scripting (XSS) vulnerability due to improper sanitization of the keyword_active parameter in admin/user_list.php. This issue has been patched in version 1.11.30.
CVE-2025-52563
Chamilo is a learning management system. Prior to version 1.11.30, there is a reflected cross-site scripting (XSS) vulne
02:48 KSA
Chamilo is a learning management system. Prior to version 1.11.30, there is a reflected cross-site scripting (XSS) vulnerability due to insufficient sanitization of the page parameter in the session/add_users_to_session.php endpoint. This issue has been patched in version 1.11.30…
تحتوي ثغرة CVE-2025-52564 على فشل في تطهير المدخلات في معامل open بملف help.php في نظام إدارة التعلم Chamilo. يمكن للمهاجمين استخدام عناوين URL مصممة بعناية لحقن محتوى HTML عشوائي مثل النصوص المسطرة. تم إصلاح هذه الثغرة في الإصدار 1.11.30.
CVE-2026-0512
Due to a Cross-Site Scripting (XSS) vulnerability in the SAP Supplier Relationship Management (SICF Handler in SRM Catal
07:16 KSA
Due to a Cross-Site Scripting (XSS) vulnerability in the SAP Supplier Relationship Management (SICF Handler in SRM Catalog), an unauthenticated attacker could craft a malicious URL, that if accessed by a victim, results in execution of malicious content within the victim's browse…
CVE-2026-1434
Omega-PSIR is vulnerable to Reflected XSS via the lang parameter. An attacker can craft a malicious URL that, when opene
04:30 KSA
Omega-PSIR is vulnerable to Reflected XSS via the lang parameter. An attacker can craft a malicious URL that, when opened, causes arbitrary JavaScript to execute in the victim’s browser.
This issue was fixed in 4.6.7.
CVE-2026-1647
The Comment Genius plugin for WordPress is vulnerable to Reflected Cross-Site Scripting via the `$_SERVER['PHP_SELF']` p
05:45 KSA
The Comment Genius plugin for WordPress is vulnerable to Reflected Cross-Site Scripting via the `$_SERVER['PHP_SELF']` parameter in all versions up to, and including, 1.2.5 due to insufficient input sanitization and output escaping. This makes it possible for unauthenticated atta…
CVE-2026-1838
The Hostel plugin for WordPress is vulnerable to Reflected Cross-Site Scripting via the 'shortcode_id' parameter in all
09:27 KSA
The Hostel plugin for WordPress is vulnerable to Reflected Cross-Site Scripting via the 'shortcode_id' parameter in all versions up to, and including, 1.1.6 due to insufficient input sanitization and output escaping. This makes it possible for unauthenticated attackers to inject …
ثغرة XSS مخزنة في منصة Discourse تسمح بتنفيذ كود JavaScript عشوائي عند تحرير المنشورات. تحدث الثغرة عندما يتم تفعيل إعدادات عرض اسم المستخدم الكامل بشكل متزامن مع تعطيل أولوية اسم المستخدم في واجهة المستخدم.
ثغرة XSS منعكسة في إضافة WP Blockade للووردبريس تؤثر على جميع الإصدارات حتى 0.9.14 من خلال معامل shortcode في دالة render_shortcode_preview(). تحدث الثغرة بسبب عدم تنظيف المدخلات بشكل كافٍ حيث يتم تمرير البيانات عبر stripslashes() فقط دون معالجة أمنية إضافية. يمكن لأي مستخدم مصرح…
يؤثر هذا الضعف على منتديات XenForo التي تستخدم وظيفة lightbox لعرض المحتوى المرئي. يمكن للمهاجمين حقن رموز JavaScript ضارة في المنشورات التي تُنفذ عند تفاعل المستخدمين مع المحتوى. قد يؤدي هذا إلى سرقة ملفات تعريف الارتباط والجلسات والبيانات الحساسة.
ثغرة اجتياز المسار في Oracle OCI CLI تسمح للمهاجمين بوضع الملفات المستوردة خارج الدلائل المقصودة، مما قد يؤدي إلى الكتابة غير المصرح بها في مناطق حساسة من النظام. يمكن استغلال هذه الثغرة عن بعد دون الحاجة إلى بيانات اعتماد المصادقة.
يحتوي OpenClaw على ثغرة في معالجة إنهاء العملية حيث تستخدم وظيفة killProcessTree إشارة SIGKILL الفورية بدلاً من SIGTERM السلس. يمكن للمهاجمين استخدام أمر !stop لتشغيل إنهاء العملية بشكل مفاجئ، مما يؤدي إلى تلف البيانات وتسرب الموارد وتخطي عمليات التنظيف الحساسة أمنياً.
ثغرة الأمان تؤثر على جميع إصدارات مكون iTracker360 حتى الإصدار 2.2.0 وتنتج عن غياب التحقق من nonce على نماذج الإعدادات وعدم كفاية تنظيف المدخلات. يمكن للمهاجمين استغلال هذه الثغرة لحقن برامج نصية ضارة مخزنة بشكل دائم في قاعدة البيانات.
ثغرة XSS معكوسة في وظيفة البحث بلوحة التحكم في حل VertiGIS FM لإدارة المرافق. يمكن للمهاجمين إنشاء عناوين URL ضارة تنفذ رمز JavaScript عشوائي في سياق المستخدم المصرح. يتطلب الاستغلال أن ينقر المستخدم المصرح على الرابط الضار.
ثغرة إعادة التوجيه المفتوحة في SAP TAF_APPLAUNCHER تسمح للمهاجمين بإنشاء روابط ضارة تعيد توجيه المستخدمين إلى مواقع خارجية. قد يؤدي هذا إلى تعريض بيانات المستخدم الحساسة أو تسهيل هجمات التصيد الاحتيالي والهندسة الاجتماعية. التأثير محدود على السرية والنزاهة دون تأثر على توفر التطب…
CVE-2026-4032
ثغرة XSS المخزنة في إضافة CodeColorer لـ WordPress عبر معامل Class في اختصار التعليقات
02:00 KSA
تحتوي إضافة CodeColorer لـ WordPress على ثغرة Stored XSS في معامل 'class' الخاص باختصار التعليقات 'cc' بسبب عدم كفاية تنظيف المدخلات والمخرجات. يمكن للمهاجمين غير المصرح لهم حقن نصوص برمجية ضارة في التعليقات التي تُنفذ عند وصول المستخدمين إلى الصفحات المتأثرة. تتطلب الاستغلال تفع…
يسمح هذا الضعف للمهاجمين بحقن برامج نصية ضارة في قاعدة بيانات WordPress من خلال معامل 'naam' دون التحقق من صحة الجلسة. تُنفذ البرامج النصية المحقونة في متصفحات جميع المستخدمين الذين يزورون الصفحة المتأثرة، مما قد يؤدي إلى سرقة بيانات المسؤول أو تثبيت برامج ضارة إضافية.
يؤثر هذا الضعف على جميع إصدارات مكون Inquiry Cart حتى الإصدار 3.4.2 ويسمح للمهاجمين بتنفيذ طلبات مزيفة نيابة عن مسؤولي WordPress. يمكن للمهاجمين استخدام هندسة اجتماعية لخداع المسؤولين بالنقر على روابط ضارة تؤدي إلى تحديث إعدادات المكون وحقن رموز برمجية ضارة.
إضافة OPEN-BRAIN لـ WordPress تحتوي على ثغرة CSRF في دالة func_page_main() بسبب غياب التحقق من nonce. يمكن للمهاجمين غير المصرحين استغلال هذه الثغرة لحقن نصوص برمجية ضارة عند خداع مسؤول الموقع. الثغرة تؤثر على جميع الإصدارات حتى 0.5.0.
ثغرة تجاوز المخزن المؤقت في ملحق file-seattle-filmworks بـ GIMP تسمح للمهاجمين بسبب رفض الخدمة من خلال ملفات Seattle Filmworks المصنوعة بشكل خاص. يمكن استغلال هذه الثغرة عن بعد عند فتح المستخدم للملفات الضارة، مما يؤدي إلى توقف الملحق وتأثر استقرار التطبيق.
تفتقر إضافة WP Responsive Popup + Optin إلى آليات حماية CSRF في نموذج الإعدادات الإداري، مما يسمح للمهاجمين بتعديل جميع إعدادات الإضافة بما في ذلك معاملات الصور. يمكن للمهاجمين استغلال هذه الثغرة بخداع مسؤولي الموقع لتنفيذ إجراءات غير مقصودة عبر طلبات مزيفة.
تفتقر سياسة الأمان في OpenClaw إلى التحقق الكافي من متغيرات بيئة المترجم مما يسمح بتجاوزها. يمكن للمهاجمين الذين لديهم صلاحيات تنفيذ معتمدة استبدال ملفات المترجم بنسخ ضارة لتنفيذ أوامر عشوائية.
تحتوي نسخ Vvveb السابقة للإصدار 1.0.8.2 على ثغرة انعكاس XSS غير مصرح بها في معاين محرر الويب البصري. تسمح الثغرة للمهاجمين بتنفيذ كود JavaScript عشوائي من خلال معاملات الاستعلام والمنشورات المعدلة دون الحاجة إلى المصادقة. تحدث المشكلة لأن وظيفة البوابة isEditor() لا تتحقق من الجل…
CVE-2026-42230
ثغرة إعادة التوجيه المفتوحة في n8n MCP OAuth عبر تسجيل عنوان إعادة توجيه بدون مصادقة
23:36 KSA
تحتوي منصة n8n على ثغرة في نقطة نهاية /mcp-oauth/register التي تسمح بتسجيل عملاء OAuth بدون التحقق من الهوية. يمكن للمهاجمين استخدام هذه الثغرة لإنشاء روابط احتيالية تعيد توجيه المستخدمين إلى مواقع خارجية عندما يرفضون الموافقة على OAuth.
تؤثر هذه الثغرة على عدة إصدارات من Apache Wicket وتسمح للمهاجمين بحقن رموز JavaScript ضارة في صفحات الويب. يمكن استغلال هذه الثغرة لسرقة بيانات المستخدمين أو جلسات العمل أو تنفيذ إجراءات غير مصرح بها نيابة عن المستخدمين.
يحتوي المكون الإضافي Royal WordPress Backup & Restore على ثغرة XSS منعكسة في معامل 'wpr_pending_template' بسبب عدم كفاية التحقق من صحة المدخلات. يمكن للمهاجمين غير المصرح لهم إنشاء روابط خبيثة تحقن برامج نصية عشوائية تُنفذ في سياق جلسة المسؤول. تؤثر الثغرة على جميع الإصدارات حتى …
تحتوي إضافة Gravity Forms على ثغرة XSS مخزنة في حقل نوع بطاقة الائتمان حيث لا يتم التحقق من صحة المدخلات أو تنظيفها قبل التخزين. عندما يقوم المسؤول بعرض إدخالات النموذج في لوحة تحكم WordPress، يتم تنفيذ البرنامج النصي الضار المحقون دون تصفية. يمكن للمهاجمين غير المصرحين استغلال ه…
تفتقر نسخ Astro السابقة للإصدار 6.1.10 إلى آلية ربط قوية بين النصوص المشفرة والمكونات المقصودة، مما يسمح بإعادة تشغيل القيم المشفرة بين مكونات مختلفة. عندما تشارك جزر الخادم أسماء مفاتيح متطابقة بين الخصائص (props) والفتحات (slots)، يمكن للمهاجم الذي يتحكم في قيم الخصائص تنفيذ هج…
يعاني تطبيق إدارة الأصول DumbAssets من ثغرة XSS مخزنة حرجة في حقول متعددة تشمل الاسم والوصف ورقم الموديل والرقم التسلسلي والعلامات. يمكن للمهاجمين استغلال نقاط نهاية API لحقن محتوى ضار يتم تنفيذه في متصفحات المستخدمين، مما قد يؤدي إلى سرقة البيانات والوصول غير المصرح به إلى الخدم…
يحتوي Summarize قبل الإصدار 0.15.1 على ثغرة نقص التفويض في جسر window.postMessage الذي يسمح للصفحات الضارة بتنفيذ عمليات غير مصرح بها على القطع الأثرية للأتمتة. يمكن للمهاجمين محاكاة رسائل وقت التشغيل برموز مرسل مزيفة لإدراج وقراءة وإنشاء وحذف القطع الأثرية للأتمتة دون فحوصات الت…
تؤثر هذه الثغرة على تطبيقات الويب التي تستخدم مكتبة TeleJSON لتحليل بيانات JSON. يمكن للمهاجمين استغلال الثغرة من خلال إرسال حمولات JSON مصنوعة عبر postMessage أو قنوات اتصال أخرى. قد يؤدي الاستغلال الناجح إلى تنفيذ كود JavaScript عشوائي في سياق التطبيق المتأثر.
تم اكتشاف خطأ في قارئ ملفات PCX بـ GIMP يسمح بقراءة الذاكرة خارج الحدود المسموحة بسبب خطأ off-by-one. يمكن لمهاجم بعيد استغلال هذه الثغرة بإقناع المستخدم بفتح ملف صورة PCX معيب خصيصاً. قد يؤدي الاستغلال الناجح إلى الكشف عن بيانات الذاكرة وتعطل التطبيق.
ثغرة XSS منعكسة في إضافة Optimole لـ WordPress تنتج عن عدم كفاية الهروب من المخرجات في دالة get_current_url() عند التعامل مع مسارات URL التي يوفرها المستخدم. يتم إدراج هذه المسارات في كود JavaScript عبر دالة str_replace() دون الهروب المناسب في سياق JavaScript في دالة replace_cont…
CVE-2026-6203
ثغرة إعادة التوجيه المفتوحة في إضافة تسجيل المستخدمين والعضويات لـ WordPress
07:16 KSA
تحتوي إضافة User Registration & Membership لـ WordPress على ثغرة إعادة توجيه مفتوحة في معامل redirect_to_on_logout الذي يسمح للمهاجمين بتحويل المستخدمين إلى مواقع خارجية ضارة. يمكن استغلال هذه الثغرة لشن هجمات التصيد الاحتيالي من خلال روابط مصممة خصيصاً تتجاوز التحقق من صحة عناوي…
إضافة Sentence To SEO لـ WordPress تحتوي على ثغرة Cross-Site Request Forgery (CSRF) في جميع الإصدارات حتى الإصدار 1.0 بسبب عدم التحقق من nonce في دالة create_admin_page(). يمكن للمهاجمين غير المصرح لهم حقن برامج نصية ضارة وتعديل إعدادات الإضافة من خلال خداع مسؤول الموقع.
إضافة Word 2 Cash لـ WordPress تفتقد التحقق من nonce على معالج حفظ الإعدادات في دالة w2c_admin()، مما يسمح بهجمات CSRF. بالإضافة إلى ذلك، يتم حفظ معامل w2c-definitions بدون تنظيف وعرضه بدون هروب، مما يسمح بحقن XSS مخزن يتم تنفيذه في لوحة تحكم WordPress.
CVE-2026-6417
ثغرة XSS المنعكسة في إضافة GLS Shipping لـ WooCommerce عبر معامل failed_orders
02:48 KSA
تحتوي إضافة GLS Shipping for WooCommerce على ثغرة XSS منعكسة في معامل 'failed_orders' تؤثر على جميع الإصدارات حتى 1.4.0. يمكن للمهاجمين غير المصرح لهم حقن نصوص برمجية ضارة تُنفذ عند نقر المستخدمين على روابط مصنوعة خصيصاً. تتطلب الهجمات خداع المستخدم للنقر على رابط ضار.
تحتوي إضافة Zingaya Click-to-Call لـ WordPress على ثغرات Reflected XSS في صفحة التسجيل الإدارية عبر معاملات البريد الإلكتروني والاسم الأول والاسم الأخير والهاتف. يمكن للمهاجمين غير المصرحين حقن نصوص برمجية عشوائية تُنفذ عند نقر المستخدمين على روابط مصنوعة بعناية.
إضافة Publish 2 Ping.fm لـ WordPress تحتوي على ثغرة CSRF في جميع الإصدارات حتى 1.1 بسبب عدم التحقق الصحيح من رموز nonce على صفحة الإعدادات. يمكن للمهاجمين غير المصرح لهم استغلال هذه الثغرة لتعديل إعدادات الإضافة وحقن برامج نصية ضارة إذا تمكنوا من خداع مسؤول الموقع.
تحتوي إضافة Blog Settings لـ WordPress على ثغرة XSS منعكسة في معامل 'page' بسبب عدم كفاية تطهير المدخلات والهروب من المخرجات. يمكن للمهاجمين غير المصرح لهم حقن نصوص برمجية ضارة تُنفذ عند نقر المستخدمين على روابط مصنوعة خصيصاً. تؤثر هذه الثغرة على جميع الإصدارات حتى الإصدار 1.0.
ثغرة XSS المنعكسة في إضافة Website LLMs.txt لـ WordPress تسمح للمهاجمين غير المصرح لهم بحقن نصوص برمجية عشوائية عبر معامل 'tab'. تتطلب الهجمة خداع المسؤول لالتقاط رابط ضار يحتوي على حمولة XSS. قد يؤدي هذا إلى سرقة جلسات العمل أو بيانات حساسة من حسابات المسؤولين.
تؤثر هذه الثغرة على صفحة حالة PHP-FPM حيث يفشل التطبيق في تنظيف بيانات المستخدم بشكل صحيح. يمكن للمهاجمين استغلال هذا الضعف لتنفيذ كود JavaScript عشوائي في متصفح المستخدم المستهدف.
تحتوي إضافة Pricing Tables for WP على ثغرة XSS انعكاسية في معامل 'page' بسبب عدم كفاية تنظيف الإدخال وترميز الإخراج. يمكن للمهاجمين غير المصرح لهم حقن نصوص ويب عشوائية تُنفذ عند نقر المسؤولين على روابط مصنوعة بعناية.
تطبيق إدارة الموارد البشرية a+HCM يعاني من ثغرة تحميل ملفات حرجة تسمح بالوصول غير المصرح به. يمكن للمهاجمين استغلال هذه الثغرة لتنفيذ هجمات XSS وتعديل محتوى التطبيق بشكل ضار.
تم اكتشاف ثغرة تسرب ذاكرة في GNU Emacs عند معالجة بيانات CSS في ملفات SVG. يمكن لمستخدم محلي استغلال هذه الثغرة بإقناع الضحية بفتح ملف SVG ضار، مما قد يؤدي إلى رفض الخدمة أو الكشف عن المعلومات.
ثغرة XSS منعكسة في إضافة CBX 5 Star Rating & Review للووردبريس تؤثر على جميع الإصدارات حتى 1.0.7. تسمح الثغرة للمهاجمين غير المصرحين بحقن نصوص برمجية عشوائية عبر معامل 'page' بسبب عدم كفاية تنظيف المدخلات والمخرجات. يمكن استغلال الثغرة بخداع المسؤولين للنقر على روابط ضارة.
تحتوي إضافة AzonPost لـ WordPress على ثغرة XSS منعكسة في معامل editpos_hidden بسبب عدم كفاية تنظيف المدخلات والمخرجات. يمكن للمهاجمين غير المصرح لهم حقن برامج نصية ضارة تُنفذ عند نقر المسؤولين على روابط مصنوعة بعناية.
ثغرة XSS منعكسة في إضافة VatanSMS WP SMS للووردبريس تسمح للمهاجمين غير المصرح لهم بحقن نصوص برمجية عشوائية عبر معامل الصفحة. تحدث الثغرة بسبب عدم كفاية تنظيف المدخلات والهروب من المخرجات. يمكن استغلالها بخداع المسؤولين للنقر على روابط ضارة تنفذ كود JavaScript في متصفحاتهم.
ثغرة XSS المنعكسة في إضافة WP Google Maps Integration تسمح للمهاجمين غير المصرح لهم بحقن نصوص برمجية عشوائية عبر معامل الصفحة. تتطلب الاستغلال خداع المسؤولين لتنفيذ إجراء معين مثل النقر على رابط ضار. قد يؤدي هذا إلى سرقة بيانات الجلسة أو تنفيذ إجراءات غير مصرح بها.
ثغرة CSRF في إضافة Tm WordPress Redirection تسمح للمهاجمين غير المصرح لهم بتعديل إعدادات الموقع وحقن نصوص برمجية خبيثة. تحدث الثغرة بسبب عدم التحقق الصحيح من nonce على الوظائف الإدارية. يتطلب الاستغلال خداع مسؤول الموقع للنقر على رابط ضار.
ثغرة CSRF في إضافة BLOGCHAT Chat System للـ WordPress تسمح للمهاجمين غير المصرح لهم بتعديل إعدادات الموقع وحقن نصوص برمجية ضارة. يتطلب الاستغلال خداع مسؤول الموقع بالنقر على رابط مزيف يتم إنشاؤه من قبل المهاجم.
تحتوي إضافة استيراد تعليقات LJ: reloaded لـ WordPress على ثغرة XSS منعكسة في معامل PHP_SELF بسبب عدم كفاية تنظيف المدخلات والمخرجات. يمكن للمهاجمين غير المصرح لهم حقن برامج نصية ويب عشوائية تُنفذ عند النقر على روابط مصنوعة بعناية.
ثغرة XSS المنعكسة في إضافة SponsorMe تسمح بحقن برامج نصية ضارة عبر معامل PHP_SELF في مسار wp-admin/admin.php. تؤثر الثغرة على موقعين منفصلين - سمة إجراء النموذج وسمة href الرابط - مما يسمح بتنفيذ الكود الضار عند نقر المستخدم على رابط مصنوع بعناية.
تحتوي إضافة Correct Prices لـ WordPress على ثغرة XSS منعكسة في الإصدارات حتى 1.0 حيث تفشل دالة correct_prices_page() في تعقيم متغير $_SERVER['PHP_SELF'] قبل إدراجه في سمة action الخاصة بالنموذج. يمكن للمهاجمين غير المصرح لهم حقن رموز JavaScript عشوائية من خلال روابط ضارة مصممة خص…
تحتوي إضافة FluentCRM لـ WordPress على ثغرة SSRF عمياء في معامل SubscribeURL تسمح للمهاجمين غير المصرح لهم بإرسال طلبات ويب تعسفية من خادم التطبيق. تؤثر هذه الثغرة فقط على التثبيتات غير المكونة حيث لم يتم تعيين مفتاح معالجة ارتداد SES من قبل. يمكن استخدام هذه الثغرة للوصول إلى ال…
تحتوي إضافة MotoPress Hotel Booking على ثغرة تجاوز تفويض تسمح للزوار غير المصرحين بالوصول إلى ملاحظات الحجوزات الداخلية وتعديلها. يتم عرض الرموز الآمنة المطلوبة للهجوم علناً في كود HTML كل صفحة عامة مما يسهل على المهاجمين استغلال الثغرة. هذا يؤثر على جميع فنادق وشركات الضيافة الت…
⚠️ استخبارات التهديدات
9 تهديد
rss:BleepingComputer
—
03:36 KSA
rss:The Hacker News
—
23:32 KSA
npm يضيف نشر محمي بالمصادقة الثنائية وعناصر تحكم في تثبيت الحزم ضد هجمات سلسلة التوريد
أطلقت GitHub عناصر تحكم في النشر المرحلي لـ npm تتطلب من المطورين الموافقة صراحة على الإصدارات قبل إتاحة الحزم للجمهور، مما يعزز أمان سلسلة التوريد. هذه الميزة متاحة الآن وتسا…
rss:The Hacker News
—
23:32 KSA
هجوم سلسلة التوريد على Packagist يصيب 8 حزم باستخدام برامج ضارة مستضافة على GitHub
هجوم منسق على سلسلة التوريد أصاب ثماني حزم على Packagist بحقن كود ضار يقوم بتحميل وتنفيذ ملف ثنائي من GitHub Releases. يوضح الهجوم تقنيات متطورة لتجنب الكشف بتجنب تعديل ملفات comp
rss:BleepingComputer
—
20:54 KSA
إيطاليا تفكك تطبيق القرصنة CINEMAGOAL الذي سرق رموز المصادقة للبث
قامت السلطات الإيطالية بتفكيك نظام القرصنة CINEMAGOAL الذي وزع بشكل غير قانوني بيانات اعتماد البث لمنصات Netflix و Disney+ و Spotify. استهدفت العملية شبكة متطورة لسرقة وتوزيع بيانات الاعتماد التي …
rss:The Hacker News
—
19:36 KSA
ذكاء اصطناعي كلود ميثوس يكتشف 10,000 عيب عالي الخطورة في برامج مستخدمة على نطاق واسع
كشفت مبادرة Project Glasswing من Anthropic عن أكثر من 10,000 ثغرة عالية وحرجة الخطورة في البرامج المستخدمة على نطاق واسع منذ إطلاقها الشهر الماضي. يسلط هذا الاكتشاف الضوء على فع…
rss:SecurityWeek
—
17:00 KSA
ثغرة 'Underminr' تسمح للمهاجمين بإخفاء الاتصالات الضارة خلف النطاقات الموثوقة
تؤثر ثغرة 'Underminr' على حوالي 88 مليون نطاق وتمكن المهاجمين من تجاوز آليات تصفية DNS. تسمح هذه الثغرة للجهات الفاعلة بإخفاء حركة التحكم والتحكم خلف النطاقات الموثوقة، مما ي…
rss:The Hacker News
—
17:00 KSA
حزم Laravel-Lang PHP المخترقة لتوصيل سارق بيانات اعتماد عابر للأنظمة
تم اختراق عدة حزم PHP من Laravel-Lang في هجوم سلسلة التوريد لتوزيع إطار عمل لسرقة بيانات الاعتماد. يستهدف الهجوم حزم Laravel الشهيرة بما في ذلك laravel-lang/lang و laravel-lang/http-statuses، م…
rss:The Hacker News
—
14:18 KSA
استغلال ثغرة CVE-2026-48172 في إضافة LiteSpeed cPanel لتنفيذ البرامج النصية كمسؤول
يتم استغلال ثغرة حرجة (CVE-2026-48172، درجة CVSS 10.0) في إضافة LiteSpeed User-End cPanel بشكل نشط في البرية. تسمح الثغرة للمهاجمين باستغلال إسناد الامتيازات غير الصحيح لتنفيذ برا…
rss:The Hacker News
—
14:18 KSA
ثغرة حقن SQL في Drupal Core قيد الاستغلال النشط، مضافة إلى قائمة CISA
أضافت وكالة CISA ثغرة حقن SQL حرجة (CVE-2026-9082) في Drupal Core إلى قائمة الثغرات المعروفة المستغلة بناءً على أدلة الاستغلال النشط. تبلغ درجة CVSS للثغرة 6.5.
📰 أخبار الأمن السيبراني
0 مقال
لا توجد أخبار مجمّعة اليوم حتى الآن
يتم تحديث هذه النشرة تلقائياً يومياً — آخر تحديث: 23 May 2026
أرشيف الثغرات ·
التهديدات ·
الأخبار