200
ثغرة
38
تهديد
0
خبر
5
حرجة
4
CISA KEV
🛡 الثغرات الأمنية (CVE)
CVE-2026-40411
Improper input validation in Azure Virtual Network Gateway allows an authorized attacker to execute code over a network.
23:15 KSA
Improper input validation in Azure Virtual Network Gateway allows an authorized attacker to execute code over a network.
CVE-2026-45321
TanStack TanStack — CVE-2026-45321
TanStack contains an unspecified vulnerability that allowed malicious versions of the
05:16 KSA
TanStack TanStack — CVE-2026-45321
TanStack contains an unspecified vulnerability that allowed malicious versions of the product to be published to the npm registry to publish credential-stealing malware under a trusted identity.
Required Action: Apply mitigations per vendor ins…
يحتوي Nx Console على ثغرة تتعلق بكود خبيث مضمن يمكنه جلب حمولة مشفرة لسرقة بيانات الاعتماد من مصادر متعددة على القرص والذاكرة. تم نشر نسخة مخترقة من الامتداد مما يشكل خطراً على جميع المستخدمين. يتطلب الأمر اتخاذ إجراء فوري لتطبيق التخفيفات أو إيقاف الاستخدام.
CVE-2026-48172
LiteSpeed cPanel Plugin — CVE-2026-48172
LiteSpeed cPanel Plugin contains privilege escalation vulnerability that is exp
05:18 KSA
LiteSpeed cPanel Plugin — CVE-2026-48172
LiteSpeed cPanel Plugin contains privilege escalation vulnerability that is exposed via the user-end cPanel plugin, which can be abused by any cPanel user account to execute arbitrary scripts with root privileges.
Required Action: Apply m…
CVE-2026-8398
Daemon Daemon Tools Lite — CVE-2026-8398
Daemon Tools contains an unspecified vulnerability that has a high impact on co
05:16 KSA
Daemon Daemon Tools Lite — CVE-2026-8398
Daemon Tools contains an unspecified vulnerability that has a high impact on confidentiality, integrity, and availability.
Required Action: Apply mitigations per vendor instructions, follow applicable BOD 22-01 guidance for cloud services…
تحتوي هذه الثغرة على آلية تحقق ضعيفة في نظام تثبيت التطبيقات لأجهزة PLCnext Control، مما يسمح لمستخدمي المهندسين بتثبيت حزم تطبيقات معدلة. يمكن للمهاجمين استغلال هذا الضعف لتنفيذ أكواد ضارة بامتيازات الجذر على الأجهزة الصناعية الحرجة.
CVE-2026-42184
خلل تصنيف عناوين URL البعيدة في دالة Tauri is_local_url() على Windows و Android
09:36 KSA
يؤثر هذا الثغرة على تطبيقات Tauri التي تستخدم مخططات URI مخصصة على أنظمة Windows و Android. يقوم المهاجم بإنشاء نطاق فرعي يطابق مخطط URI المخصص للتطبيق لخداع آلية التحقق من الأصل المحلي. هذا يسمح بتنفيذ هجمات CSRF وسرقة البيانات والوصول غير المصرح به إلى موارد التطبيق.
تحتوي متحكمات IBM الإصدارات 11.0.1 و11.1.0 و11.1.1 و11.1.2 على بيانات اعتماد مشفرة بشكل ثابت في الكود. تُستخدم هذه البيانات للمصادقة الداخلية والاتصالات الخارجية وتشفير البيانات الحساسة. يمكن لأي شخص لديه وصول إلى الكود أو الأنظمة الضعيفة استخراج هذه البيانات واستخدامها للوصول غي…
ثغرة تجاوز المخزن المؤقت في مكون asperahttpd بمنتجات IBM Aspera تسمح للمستخدمين المصرح لهم بتنفيذ كود عشوائي على النظام. تؤثر الثغرة على إصدارات متعددة من Endpoint و Server. يمكن للمهاجمين المصرح لهم استغلال هذه الثغرة للحصول على تحكم كامل على الأنظمة المتأثرة.
CVE-2026-8409
Concrete CMS 9 before 9.5.0 is vulnerable to Cross Site Request Forgery (CSRF) at concrete/controllers/dialog/logs/delet
04:00 KSA
Concrete CMS 9 before 9.5.0 is vulnerable to Cross Site Request Forgery (CSRF) at concrete/controllers/dialog/logs/delete. The The Concrete CMS security team gave this vulnerability a CVSS v.4.0 score of 2.3 with vector CVSS:4.0/AV:N/AC:L/AT:P/PR:N/UI:P/VC:N/VI:L/VA:N/SC:N/SI:N/…
CVE-2026-8410
Concrete CMS 9 before 9.5.0 is vulnerable to Cross Site Request Forgery (CSRF) at concrete/controllers/dialog/logs/bulk/
04:00 KSA
Concrete CMS 9 before 9.5.0 is vulnerable to Cross Site Request Forgery (CSRF) at concrete/controllers/dialog/logs/bulk/delete. The The Concrete CMS security team gave this vulnerability a CVSS v.4.0 score of 2.3 with vector CVSS:4.0/AV:N/AC:L/AT:P/PR:N/UI:P/VC:N/VI:L/VA:N/SC:N/…
CVE-2026-8411
Concrete CMS 9 before 9.5.0 is vulnerable to Cross Site Request Forgery (CSRF) at concrete/controllers/dialog/page/bulk/
04:00 KSA
Concrete CMS 9 before 9.5.0 is vulnerable to Cross Site Request Forgery (CSRF) at concrete/controllers/dialog/page/bulk/delete. The Concrete CMS security team gave this vulnerability a CVSS v.4.0 score of 2.3 with vector CVSS:4.0/AV:N/AC:L/AT:P/PR:N/UI:P/VC:N/VI:L/VA:N/SC:N/SI:N/…
CVE-2026-8412
Concrete CMS 9 before 9.5.0 is vulnerable to Cross Site Request Forgery (CSRF) at concrete/controllers/dialog/page/bulk
04:00 KSA
Concrete CMS 9 before 9.5.0 is vulnerable to Cross Site Request Forgery (CSRF) at concrete/controllers/dialog/page/bulk/cache. The Concrete CMS security team gave this vulnerability a CVSS v.4.0 score of 2.3 with vector CVSS:4.0/AV:N/AC:L/AT:P/PR:N/UI:P/VC:N/VI:L/VA:N/SC:N/SI:N/…
تؤثر هذه الثغرة على Concrete CMS 9 قبل الإصدار 9.5.0 وتسمح للمهاجمين بتنفيذ إجراءات غير مصرح بها على صفحات التصميم الجماعي. الثغرة تتطلب تفاعل المستخدم وتم الإبلاغ عنها من قبل Yonatan Drori من Tenzai.
تؤثر هذه الثغرة على Concrete CMS 9 قبل الإصدار 9.5.0 وتسمح للمهاجمين بتنفيذ طلبات غير مصرح بها نيابة عن المستخدمين المصرح لهم. يتطلب الاستغلال تفاعل المستخدم وله تأثير محدود على سلامة البيانات وفقاً لتقييم CVSS v4.0.
تؤثر هذه الثغرة على نقطة نهاية معينة في Concrete CMS 9 المسؤولة عن إعادة ترتيب الارتباطات السريعة. يمكن للمهاجمين استغلال غياب حماية CSRF لإجبار المستخدمين المصرح لهم على تنفيذ إجراءات غير مقصودة. الثغرة تتطلب تفاعل المستخدم وتؤثر على سلامة البيانات.
ثغرة تزييف طلب عبر الموقع (CSRF) في وحدة التحكم الخلفية لنظام Concrete CMS 9 تسمح للمهاجمين بإجبار المستخدمين المصرح لهم على تنفيذ إجراءات غير مقصودة. تتطلب الثغرة تفاعل المستخدم وتؤثر على سلامة البيانات بشكل محدود مع درجة CVSS 2.3 في الإصدار 4.0.
تؤثر هذه الثغرة على نظام إدارة المحتوى Concrete CMS الإصدار 9 قبل 9.5.0 حيث يمكن للمهاجمين استغلال نقص التحقق من CSRF في وظيفة removeFavoriteFolder. يتطلب الاستغلال تفاعل المستخدم المستهدف مع رابط ضار، مما قد يؤدي إلى حذف مجلدات المفضلة بدون إذن.
ثغرة تزييف طلب عبر الموقع (CSRF) في وحدة التحكم بملفات النجوم بنظام Concrete CMS 9 تسمح للمهاجمين بتنفيذ إجراءات غير مصرح بها نيابة عن المستخدمين المصرح لهم. تتطلب الثغرة تفاعل المستخدم وتؤثر على سلامة البيانات بشكل محدود.
ثغرة CSRF في Concrete CMS 9 تسمح للمهاجمين بتنفيذ عمليات غير مصرح بها على وحدة إعادة فحص الملفات. تتطلب الثغرة تفاعل المستخدم وتؤثر بشكل محدود على سلامة البيانات. يجب ترقية النظام إلى الإصدار 9.5.0 أو أحدث.
ثغرة CSRF في Concrete CMS 9 تؤثر على وظيفة rescanMultiple() في المتحكم الخلفي، مما يسمح للمهاجمين بخداع المستخدمين المصرح لهم لتنفيذ إجراءات ملفات غير مقصودة. يتطلب الاستغلال تفاعل المستخدم والوصول إلى شبكة، مع تأثير محدود على سلامة البيانات.
CVE-2026-8787
ثغرة تصعيد الامتيازات في إضافة Firebase Support & Chat Management لـ WordPress
09:18 KSA
تفتقر دالة firebase_auth() في الإضافة إلى التحقق من ملكية البريد الإلكتروني المقدم، مما يسمح للمهاجمين المصرح لهم بمستوى المشترك فما فوق بانتحال هوية أي مستخدم. يمكن للمهاجمين الوصول إلى حسابات الإدارة والحصول على السيطرة الكاملة على موقع WordPress.
يسمح مكون WPCode للووردبريس بتنفيذ أكواد PHP عشوائية من قبل المستخدمين المصرح لهم بمستوى المؤلف فأعلى عبر بروتوكول XML-RPC. تحدث الثغرة لأن نوع المنشور المخصص wpcode لم يتم تسجيله بقيود قدرات مخصصة، مما يسمح بإنشاء ومنشورات أكواد PHP قابلة للتنفيذ. يتم تنفيذ هذه الأكواد من جانب ا…
تؤثر هذه الثغرة على وحدات التحكم بالشبكة UTT HiPER 1250GW المستخدمة في البنية التحتية للاتصالات. يمكن للمهاجمين البعيدين استغلال ضعف في معالجة السلاسل النصية لتجاوز سعة المخزن المؤقت وتنفيذ أكواد عشوائية بصلاحيات النظام.
تؤثر هذه الثغرة على أجهزة UTT HiPER 1250GW المستخدمة كبوابات وموجهات في البنية التحتية للشبكات. يمكن للمهاجمين استغلال تجاوز المخزن المؤقت لتنفيذ تعليمات برمجية عشوائية بامتيازات النظام. الاستغلال العام للثغرة يزيد من خطر الهجمات الموجهة على المنظمات السعودية.
ثغرة تجاوز المخزن المؤقت في دالة strcpy بملف /goform/setSysAdm في واجهة إدارة الويب لجهاز UTT HiPER 1200GW. يمكن للمهاجمين البعيدين استغلال هذه الثغرة من خلال معاملات sysAdmUser و sysAdmPass لتنفيذ أكواد تعسفية. تم نشر استغلالات عامة لهذه الثغرة.
CVE-2026-9380
A security vulnerability has been detected in Edimax BR-6675nD 1.12. Affected is the function formL2TPSetup of the file
16:36 KSA
A security vulnerability has been detected in Edimax BR-6675nD 1.12. Affected is the function formL2TPSetup of the file /goform/formL2TPSetup of the component POST Request Handler. Such manipulation of the argument L2TPUserName leads to buffer overflow. The attack can be launched…
CVE-2026-9381
A vulnerability was detected in Edimax BR-6675nD 1.12. Affected by this vulnerability is the function formPPPoESetup of
16:36 KSA
A vulnerability was detected in Edimax BR-6675nD 1.12. Affected by this vulnerability is the function formPPPoESetup of the file /goform/formPPPoESetup of the component POST Request Handler. Performing a manipulation of the argument pppUserName results in buffer overflow. The att…
CVE-2026-9382
A flaw has been found in Edimax BR-6675nD 1.12. Affected by this issue is the function formPPTPSetup of the file /goform
16:36 KSA
A flaw has been found in Edimax BR-6675nD 1.12. Affected by this issue is the function formPPTPSetup of the file /goform/formPPTPSetup of the component POST Request Handler. Executing a manipulation of the argument pptpUserName can lead to buffer overflow. The attack may be launc…
CVE-2026-9389
A security vulnerability has been detected in Tenda F456 1.0.0.5. This affects the function frmL7ImForm of the file /gof
20:23 KSA
A security vulnerability has been detected in Tenda F456 1.0.0.5. This affects the function frmL7ImForm of the file /goform/L7Im. The manipulation of the argument page leads to buffer overflow. The attack can be initiated remotely. The exploit has been disclosed publicly and may …
CVE-2026-9393
A vulnerability was found in H3C Magic B0 up to 100R002. This affects the function Edit_BasicSSID_5G of the file /goform
20:23 KSA
A vulnerability was found in H3C Magic B0 up to 100R002. This affects the function Edit_BasicSSID_5G of the file /goform/aspForm. Performing a manipulation of the argument param results in buffer overflow. The attack may be initiated remotely. The exploit has been made public and…
CVE-2026-9399
A vulnerability was detected in Edimax BR-6675nD 1.12. This vulnerability affects the function formsetPPPoE of the file
20:23 KSA
A vulnerability was detected in Edimax BR-6675nD 1.12. This vulnerability affects the function formsetPPPoE of the file /goform/formsetPPPoE of the component POST Request Handler. Performing a manipulation of the argument pppUserName results in buffer overflow. It is possible to …
CVE-2026-9403
A vulnerability was determined in Edimax BR-6675nD 1.12. The impacted element is the function formWlSiteSurvey of the fi
20:23 KSA
A vulnerability was determined in Edimax BR-6675nD 1.12. The impacted element is the function formWlSiteSurvey of the file /goform/formWlSiteSurvey of the component POST Request Handler. This manipulation of the argument selSSID causes buffer overflow. The attack may be initiated…
CVE-2026-9401
A vulnerability has been found in Edimax BR-6675nD 1.12. Impacted is the function formWanTcpipSetup of the file /goform/
20:23 KSA
A vulnerability has been found in Edimax BR-6675nD 1.12. Impacted is the function formWanTcpipSetup of the file /goform/formWanTcpipSetup of the component POST Request Handler. The manipulation of the argument pppUserName leads to buffer overflow. The attack can be initiated remo…
تتعلق هذه الثغرة بثغرة حقن SQL في Active Backup for Business التي تسمح للمهاجمين غير المصرح لهم بقراءة ملفات عشوائية من النظام. يمكن استغلال هذه الثغرة عن بعد دون الحاجة إلى بيانات اعتماد صحيحة، مما يشكل تهديداً مباشراً لسرية البيانات المحفوظة.
هذه الثغرة تسمح لمهاجم محلي بتنفيذ أكواد تعسفية من خلال ملف إعدادات مصنع على وسيط قابل للإزالة مثل محرك USB. الهجوم يستغل ضعفاً في معالجة ملفات الإعدادات في cfgparser ويؤدي إلى فقدان كامل السيطرة على النظام.
تحتوي منتجات تحليل السجلات من IBM على كلمات مرور افتراضية مشفرة في الكود تُستخدم أثناء التثبيت ولا تُغيّر تلقائياً. يمكن للمهاجمين استخدام هذه البيانات الافتراضية للوصول غير المصرح به إلى أنظمة تحليل السجلات الحرجة. هذا يشكل خطراً كبيراً على سرية وتكامل البيانات المراقبة.
تؤثر هذه الثغرة على جميع إصدارات GitHub Enterprise Server السابقة للإصدار 3.22 وتسمح للمهاجمين غير المصرحين باستغلال التحقق الضعيف من المدخلات في نقطة التحميل. يمكن للمهاجمين حقن محتوى اجتياز المسار لتجاوز تدفق الطلبات المقصود والوصول إلى الخدمات الداخلية والبيانات الاعتمادية الح…
تحتوي هذه الثغرة على فشل في التحقق من الشروط غير العادية في نظام SSO في Synology DiskStation Manager. يمكن للمهاجمين البعيدين الذين لديهم معرفة مسبقة باسم مميز (DN) تجاوز آليات المصادقة والوصول غير المصرح به إلى النظام. تؤثر الثغرة على إصدارات محددة من DSM 7.2 و 7.3.
CVE-2026-41071
libheif is a HEIF and AVIF file format decoder and encoder. In versions 1.21.2 and prior, a crafted HEIF sequence file w
23:15 KSA
libheif is a HEIF and AVIF file format decoder and encoder. In versions 1.21.2 and prior, a crafted HEIF sequence file where the saiz box declares more samples than actually exist in the track's chunk table causes a heap-buffer-overflow (out-of-bounds read) in the SampleAuxInfoRe…
يتعلق هذا الضعف بوحدتي pubkey_cert و public_key في Erlang OTP حيث لا يتم التحقق من قيود DNS nameConstraints بشكل صحيح. يسمح الضعف لسلطة تصديق فرعية بإصدار شهادات أوراق تقبلها عملاء TLS كهويات صحيحة لأسماء مضيفين خارج النطاق المسموح به.
ثغرة في مكون Tassos Framework تسمح للمستخدمين بحذف ملفات عشوائية على الأنظمة المتأثرة. تؤثر هذه الثغرة على سلامة البيانات وتوفرها وقد تؤدي إلى فقدان دائم للبيانات الحساسة. يتطلب الاستغلال مستويات وصول معينة لكن التأثير على الأنظمة الحرجة يكون كبيراً.
تحتوي إضافة Login with NEAR للووردبريس على ثغرة خطيرة في دالة ajaxLoginWithNear() التي تقبل معاملات من المستخدمين غير المصرح لهم دون التحقق من صحتها. يمكن للمهاجمين استخدام هذه الثغرة للدخول كمسؤول أو إنشاء حسابات جديدة بدون بيانات اعتماد صحيحة.
يتعلق الضعف بمعالج تثبيت تحديثات OTA في محطات شحن السيارات الكهربائية Besen BS20، حيث يسمح بتجاوز آليات التفويض. يمكن استغلال هذا الضعف عن بعد، لكن الهجوم يتطلب مستوى عالي من التعقيد والمعرفة التقنية. أقرت شركة Besen باستقبال التقرير وتراجع المشكلة اعتباراً من أبريل 2026.
تحتوي نسخ Synology BeeDrive السابقة على ثغرة في مكون OpenSSL DLL حيث لا يتم التحكم بشكل صحيح في مسار البحث عن المكتبات الديناميكية. يمكن للمهاجمين المحليين استغلال هذه الثغرة لتحميل نسخ ضارة من المكتبات وتنفيذ أكواد عشوائية بصلاحيات التطبيق.
تتعلق هذه الثغرة بمعالجة غير آمنة للملفات في خدمات النظام ذات الصلاحيات العالية. يمكن للمستخدمين ذوي الصلاحيات المنخفضة تعديل ملفات التكوين في مناطق قابلة للكتابة لتنفيذ أوامر بصلاحيات مرتفعة.
تسمح هذه الثغرة للمستخدمين الذين لديهم وصول محدود بتصعيد امتيازاتهم إلى مستوى الجذر في خوادم IBM Netezza. يمكن للمهاجمين تنفيذ أوامر بصلاحيات الجذر وتعديل كلمات المرور وتثبيت برامج ضارة دائمة. يؤدي الاستغلال الناجح إلى فقدان كامل للسرية والنزاهة والتوفر.
CVE-2026-45136
حقن أكواد في claude-code-cache-fix عبر استيفاء السلاسل النصية في quota-statusline.sh
03:16 KSA
يحتوي الإصدار 3.5.0 إلى 3.5.1 من claude-code-cache-fix على ثغرة حقن أكواد في ملف tools/quota-statusline.sh حيث يتم إدراج حمولة stdin من Claude Code مباشرة في سلسلة نصية Python بدون تنظيف. يمكن لمهاجم استخدام تسلسل ''' لإغلاق السلسلة النصية مبكراً وتنفيذ أكواد Python تعسفية في عمل…
CVE-2025-14713
كشف طريقة خطيرة في خادم Synology C2 Identity Edge يؤدي لتسريب بيانات الاعتماد
21:13 KSA
تحتوي حزمة Synology C2 Identity Edge Server على ثغرة في الإصدارات السابقة لـ 1.76.0-0307 تسمح للمهاجمين البعيدين باستدعاء دوال خطيرة للحصول على بيانات اعتماد المستخدمين. يمكن استغلال هذه الثغرة دون الحاجة إلى مصادقة، مما يشكل خطراً كبيراً على أمان الهوية في المؤسسات.
تحتوي نسخ IBM InfoSphere Optim Test Data Fabrication من 1.0.0 إلى 1.0.2.7 على ثغرة اجتياز مسارات تسمح للمهاجمين البعيدين بالوصول إلى ملفات عشوائية على النظام. يمكن للمهاجم إرسال طلب URL مصمم خصيصاً يحتوي على تسلسلات النقاط الثلاث (/../) لعرض ملفات حساسة وملفات إعدادات النظام دون …
تؤثر هذه الثغرة على خوادم DNS التي تستخدم NLnet Labs Unbound وتسمح للمهاجمين بتمديد نافذة هجوم أسماء النطاقات الشبحية من خلال التلاعب بقيم TTL المخزنة مؤقتاً. يمكن لمستعلم واحد أو استعلام NS ضمني أن يسبب في الكتابة فوق سجلات NS المنتهية الصلاحية بسجلات من جانب الطفل.
ثغرة حقن SQL في نقطة نهاية userinfo تسمح للمهاجمين غير المصرح لهم بتنفيذ أوامر SQL عشوائية. يمكن للمهاجمين استخراج جميع البيانات الحساسة من قاعدة البيانات بما في ذلك بيانات المستخدمين والمعلومات السرية. الثغرة تتطلب فقط وصول الشبكة ولا تتطلب مصادقة.
يسمح هذا الثغرة بحقن أوامر SQL عشوائية من قبل مهاجمين بدون الحاجة للمصادقة. يؤدي الاستغلال إلى فقدان كامل لسرية البيانات المخزنة في قاعدة البيانات. المشكلة تكمن في عدم تحييد العناصر الخاصة في أوامر SQL SELECT بشكل صحيح.
ثغرة حقن SQL غير مصرح بها في دالة getLiveValues تسمح للمهاجمين بتجاوز آليات المصادقة وتنفيذ أوامر SQL عشوائية. يمكن للمهاجمين استخراج بيانات حساسة من قاعدة البيانات بما في ذلك بيانات المستخدمين والمعلومات المالية والبيانات التشغيلية. الثغرة تؤثر على أي نظام يستخدم هذه الدالة بدون…
تسمح هذه الثغرة للمهاجمين غير المصرح لهم بتنفيذ أوامر SQL عشوائية من خلال معامل tagid في دالة getLiveValues. يمكن للمهاجم استخراج بيانات حساسة من قاعدة البيانات بما في ذلك بيانات المستخدمين والمعلومات السرية. عدم وجود آلية مصادقة يجعل هذه الثغرة سهلة الاستغلال من قبل أي مهاجم على…
هذه الثغرة تسمح لمهاجم بدون مصادقة بتنفيذ استعلامات SQL عشوائية عبر دالة _mb24confi_getTagAlarm في ملف dataapi.php. يمكن للمهاجم استخراج جميع البيانات الحساسة من قاعدة البيانات بما فيها بيانات المستخدمين والمعلومات السرية. الثغرة ناتجة عن عدم تنظيف المدخلات بشكل صحيح قبل استخدامه…
ثغرة حقن SQL غير مصرح بها في دالة _mb24api_getUserAccount تسمح للمهاجمين البعيدين بتنفيذ استعلامات SQL عشوائية دون الحاجة إلى بيانات اعتماد. يمكن للمهاجمين استخراج جميع البيانات الحساسة من قاعدة البيانات بما في ذلك بيانات المستخدمين والحسابات المالية.
CVE-2026-40816
ثغرة حقن SQL غير مصرح بها في دالة _mb24confi_getTagAlarm بملف mb24alarm.php
21:13 KSA
ثغرة حقن SQL في دالة _mb24confi_getTagAlarm بملف mb24alarm.php تسمح بالوصول غير المصرح به إلى قاعدة البيانات. يمكن للمهاجمين استخراج البيانات الحساسة بما في ذلك بيانات المستخدمين والمعلومات المالية دون الحاجة إلى بيانات اعتماد صحيحة.
ثغرة حقن SQL غير مصرح بها في دالة getAlarmProfiles تسمح للمهاجمين بتنفيذ استعلامات SQL عشوائية دون الحاجة إلى بيانات اعتماد. يمكن للمهاجمين الوصول إلى جميع البيانات الحساسة المخزنة في قاعدة البيانات بما في ذلك بيانات المستخدمين والأنظمة الحرجة.
ثغرة حقن SQL غير مصرح بها في دالة _mb24confi_getDevice تسمح للمهاجمين بتنفيذ استعلامات SQL عشوائية دون الحاجة إلى بيانات اعتماد. يمكن للمهاجم استخراج جميع البيانات الحساسة من قاعدة البيانات بما في ذلك بيانات المستخدمين والمعلومات السرية.
ثغرة حقن SQL في مهمة sync_data24 تسمح للمهاجمين بتنفيذ استعلامات SQL عشوائية دون الحاجة إلى بيانات اعتماد المصادقة. يمكن للمهاجمين استخراج البيانات الحساسة من قاعدة البيانات مما يؤدي إلى فقدان كامل السرية. الثغرة ناتجة عن عدم تنظيف المدخلات بشكل صحيح في استعلامات SELECT.
تسمح هذه الثغرة للمهاجمين بالوصول إلى بيانات حساسة من قاعدة البيانات دون الحاجة إلى بيانات اعتماد صحيحة. يمكن استخدام الثغرة لاستخراج معلومات العملاء والحسابات والبيانات المالية. تؤثر الثغرة على أي نظام يستخدم الدالة المعيبة دون تحديث أمني.
CVE-2026-42459
free5GC is an open-source implementation of the 5G core network. Prior to 4.2.2, the free5GC UDM component fails to vali
21:18 KSA
free5GC is an open-source implementation of the 5G core network. Prior to 4.2.2, the free5GC UDM component fails to validate the supi path parameter in six GET handlers of the nudm-sdm (Subscriber Data Management) service. An unauthenticated attacker can inject control characters…
تحتوي مكتبة Botan للتشفير على ثغرة في محلل BER تسمح بسلوك تربيعي عند معالجة ترميزات الطول غير المحدود. الثغرة تؤثر على الإصدارات السابقة للإصدار 3.12.0 وتسمح بهجمات حجب الخدمة من خلال استهلاك موارد النظام. تم إصلاح المشكلة في الإصدار 3.12.0 بتحسين التحقق من صحة ترميزات DER.
يؤثر هذا الضعف على مكتبة UltraJSON المستخدمة لترميز وفك ترميز JSON بسرعة عالية في Python. عندما تفشل عملية الكتابة إلى كائن يشبه الملف، لا يتم تحرير كائن السلسلة المسلسلة، مما يؤدي إلى تسرب الذاكرة التراكمي. يمكن للمهاجمين استغلال هذا من خلال تحفيز عمليات كتابة فاشلة متكررة لاستن…
تؤثر هذه الثغرة على مكون asperahttpd في منتجات نقل البيانات عالية السرعة من IBM Aspera. يمكن لأي مستخدم غير مصرح بالوصول إلى الخدمة أن يسبب انهيار الخدمة من خلال استغلال خلل في معالجة المؤشرات. هذا يؤدي إلى انقطاع خدمات نقل البيانات الحرجة.
ثغرة Local File Inclusion في إضافة Query Shortcode للووردبريس تؤثر على جميع الإصدارات حتى 0.2.1. تسمح الثغرة للمهاجمين المصرح لهم بمستوى المساهم وما فوق بتضمين وتنفيذ ملفات PHP عشوائية على الخادم. يمكن استغلال هذه الثغرة لتجاوز عناصر التحكم في الوصول والحصول على بيانات حساسة أو ت…
CVE-2026-9372
ثغرة SSRF في واجهة برمجة تطبيقات موفر النموذج ItzCrazyKns Vane عبر معامل baseURL
16:36 KSA
تم اكتشاف ثغرة في ItzCrazyKns Vane تؤثر على مكون Model Provider API في الملف src/app/api/providers/route.ts. تسمح الثغرة للمهاجمين بمعالجة معامل baseURL لتنفيذ هجمات server-side request forgery (SSRF) من خادم التطبيق. تم نشر الاستغلال علناً والمشروع لم يستجب للإبلاغ عن المشكلة.
ثغرة حقن SQL في نظام إدارة البريد السريع من itsourcecode الإصدار 1.0 تسمح للمهاجمين بتعديل معامل ID في ملف manage_user.php لتنفيذ استعلامات SQL عشوائية. تم الكشف عن هذه الثغرة علناً مما يزيد من خطورتها بسبب إمكانية استغلالها من قبل أي مهاجم بعيد.
يؤثر هذا الضعف على نظام التقييم الإلكتروني من itsourcecode الإصدار 1.0 حيث يسمح بحقن أوامر SQL عبر حقل اسم المستخدم في صفحة تسجيل الدخول الإدارية. يمكن للمهاجمين البعيدين استغلال هذه الثغرة المكشوفة علناً للوصول غير المصرح به إلى البيانات الحساسة أو تعديلها.
تؤثر هذه الثغرة على IBM QRadar وهو منصة أمان معلومات حرجة تستخدمها المؤسسات السعودية. يمكن لمسؤول مصرح برفع أرشيف نسخة احتياطية مصنوعة بشكل ضار واستعادتها للحصول على وصول كامل لنظام التشغيل الأساسي. هذا يشكل خطرًا كبيرًا على سرية وتكامل البيانات الأمنية الحساسة.
CVE-2026-3375
ثغرة XSS مخزنة في إضافة LiteSpeed Cache لـ WordPress عبر نقاط نهاية REST API
15:05 KSA
تحتوي إضافة LiteSpeed Cache الشهيرة لـ WordPress على ثغرة Stored XSS حرجة في نقاط نهاية REST API /wp-json/litespeed/v1/notify_ccss و /wp-json/litespeed/v1/notify_ucss. يتم قبول محتوى CSS من إخطارات رد اتصال QUIC.cloud وتخزينه على القرص دون تنظيف، ثم يتم عرضه في صفحات الويب الأمام…
تحتوي هذه الثغرة على عيب في التحقق من صحة الإعدادات في مولد الإعدادات، حيث يمكن لمهاجم مصرح له بحقن حمولات خطيرة. عند تنفيذ هذه الإعدادات المعدلة، يتم تمرير الحمولة المحقونة مباشرة إلى دوال تنفيذ النظام دون فحص كافٍ. يؤدي هذا إلى تنفيذ أوامر تعسفية بامتيازات النظام، مما يسبب فقدا…
تؤثر هذه الثغرة على أجهزة التوجيه Archer BE450 و BE7200 من الإصدار الأول وتسمح بتنفيذ أوامر نظام عشوائية بعد المصادقة. يمكن للمهاجم استخدام وحدة تحكم المتصفح لإدخال بيانات معيبة تمر إلى أوامر النظام الخلفية دون تنقية كافية. يؤدي الاستغلال الناجح إلى اختراق كامل للجهاز مع امتيازات…
CVE-2026-6169
ثغرة تنفيذ أكواد بعيدة في إضافة affiliate-toolkit لـ WordPress عبر حقن قوالب BladeOne
21:13 KSA
تحتوي إضافة affiliate-toolkit لـ WordPress على ثغرة خطيرة في معالجة القوالب حيث تستخدم محرك BladeOne لتجميع محتوى القوالب المزود من قبل المستخدم إلى كود PHP وتنفيذه مباشرة دون تصفية أو عزل. يمكن للمهاجمين المصرح لهم بمستوى محرر أو أعلى حقن أكواد PHP ضارة لتنفيذ أوامر تعسفية على ا…
تفشل Concrete CMS 9.5.0 وما دونه في تنظيف تسلسلات اجتياز المسار في حقل ptComposerFormLayoutSetControlCustomTemplate عند حفظ تخطيطات نموذج محرر صفحات المؤلف. يمكن لمسؤول مصرح برئ الاستفادة من هذا لتضمين ملفات قابلة للقراءة بشكل تعسفي على الخادم. عند دمجها مع التحقق من الامتداد فقط…
CVE-2026-8135
Concrete CMS 9.5.0 and below is vulnerable to Remote Code Execution due to insecure deserialization occurring in the Ex
04:00 KSA
Concrete CMS 9.5.0 and below is vulnerable to Remote Code Execution due to insecure deserialization occurring in the ExpressEntryList block controller. An rogue administrator with privileges to add blocks to an area can bypass the intended protection mechanism (_fromCIF === true…
ثغرة XSS مخزنة في إضافة HBook للووردبريس تؤثر على معاملات ISO للدول والولايات الأمريكية والمقاطعات الكندية. تسمح الثغرة للمهاجمين غير المصرحين بحقن نصوص برمجية ضارة تنفذ عند وصول المسؤولين إلى صفحة إدارة العملاء. الثغرة ناتجة عن عدم كفاية تنظيف الإدخال والتحقق من الإخراج.
تؤثر هذه الثغرة على قواعد بيانات IBM Db2 المشغلة للإصدارات المعرضة عندما تكون المعاملات المستقلة مفعلة. يمكن لمهاجم مصرح بالوصول إلى قاعدة البيانات إرسال استعلام مصمم خصيصاً يسبب استهلاك موارد غير محدود وإيقاف الخدمة. هذا يؤثر على توفر البيانات والخدمات المعتمدة على قاعدة البيانا…
CVE-2026-1933
تجاوز التحكم في الوصول لنقاط إعادة التحليل NTFS في Samba على المشاركات للقراءة فقط
21:13 KSA
تم اكتشاف خلل في معالجة Samba لنقاط إعادة التحليل بنمط NTFS على المشاركات المحمية بـ read only = yes، حيث تفتقد فحوصات التحكم في الوصول على مستوى SMB. يمكن للمستخدمين المصرحين الذين لديهم أذونات كتابة في نظام الملفات الأساسي إنشاء أو حذف بيانات وصلات إعادة التحليل من خلال عمليات …
ثغرة حقن SQL في دالة saveDashboardLayout بملف dash.php تسمح للمهاجمين البعيدين غير المصرحين باستغلال عدم معالجة العناصر الخاصة في أوامر SQL INSERT. يمكن للمهاجم قراءة قاعدة البيانات بالكاملة وإدراج إدخالات في جداول غير حساسة، مما يؤدي إلى فقدان كامل للسرية وفقدان جزئي للسلامة.
ثغرة حقن SQL في دالة saveDashboardLayout بملف dash_layout.php تسمح للمهاجمين البعيدين غير المصرحين بتنفيذ أوامر SQL تعسفية. يمكن للمهاجم قراءة قاعدة البيانات بالكامل واستخراج البيانات الحساسة وإدراج إدخالات غير مصرح بها في الجداول غير الحرجة.
ثغرة حقن SQL في نموذج inmessage تسمح للمهاجمين البعيدين بتنفيذ أوامر SQL عشوائية دون المصادقة. يمكن للمهاجمين قراءة كامل محتويات قاعدة البيانات وحذف البيانات من الجداول غير الحرجة، مما يؤدي إلى فقدان السرية والتأثير على السلامة.
تحتوي نسخ IBM Langflow OSS من 1.0.0 إلى 1.9.0 على ثغرة في التحكم بالموارد تسمح بهجمات حجب الخدمة. يمكن للمهاجمين استغلال هذه الثغرة لاستنزاف موارد النظام مثل الذاكرة والمعالج والشبكة. هذا قد يؤدي إلى توقف الخدمات المعتمدة على هذه المنصة.
CVE-2024-11399
Files or directories accessible to external parties vulnerability in redis-server component in Synology BeeDrive for des
19:42 KSA
Files or directories accessible to external parties vulnerability in redis-server component in Synology BeeDrive for desktop before 1.3.2-13814 allows local users to conduct denial-of-service attacks via unspecified vectors.
CVE-2026-9704
A flaw was found in Keycloak. An authenticated user with low privileges can exploit this vulnerability by sending an ove
11:23 KSA
A flaw was found in Keycloak. An authenticated user with low privileges can exploit this vulnerability by sending an oversized subject_token JSON Web Token (JWT) to the TokenEndpoint. When the token exceeds a 4000-character limit, it is silently dropped, causing the system to fal…
CVE-2026-9603
A security vulnerability has been detected in SourceCodester eDoc Doctor Appointment System 1.0. This affects an unknown
07:48 KSA
A security vulnerability has been detected in SourceCodester eDoc Doctor Appointment System 1.0. This affects an unknown part of the file /admin/delete-session.php. The manipulation of the argument ID leads to missing authorization. Remote exploitation of the attack is possible. …
CVE-2025-0898
The Xpro Elementor Addons - Pro plugin for WordPress is vulnerable to Arbitrary File Reading in all versions up to, and
01:03 KSA
The Xpro Elementor Addons - Pro plugin for WordPress is vulnerable to Arbitrary File Reading in all versions up to, and including, 1.4.7 via the Draw SVG widget. This makes it possible for authenticated attackers, with Contributor-level access and above, to read the contents of a…
CVE-2026-2340
A flaw was found in Samba’s vfs_worm module. The module is intended to provide write-once, read-many (WORM) protections
09:54 KSA
A flaw was found in Samba’s vfs_worm module. The module is intended to provide write-once, read-many (WORM) protections by preventing modification of files after a configurable grace period. Due to insufficient validation during rename operations, an authenticated user with write…
CVE-2026-3279
The Enable jQuery Migrate Helper plugin for WordPress is vulnerable to unauthorized modification of data due to a missin
00:32 KSA
The Enable jQuery Migrate Helper plugin for WordPress is vulnerable to unauthorized modification of data due to a missing capability check on the `downgrade_jquery_version()` function in all versions up to, and including, 1.4.1. This is due to the function only verifying a nonce …
CVE-2026-3676
IBM Cloud APM, Base Private 8.1.4 and IBM Cloud APM, Advanced Private 8.1.4 IBM Db2 for Linux, UNIX and Windows (include
09:54 KSA
IBM Cloud APM, Base Private 8.1.4 and IBM Cloud APM, Advanced Private 8.1.4 IBM Db2 for Linux, UNIX and Windows (includes DB2 Connect Server) could allow an authenticated user to cause a denial of service due to improper neutralization of special elements in the data query logic …
CVE-2026-40831
An low privileged remote attacker can exploit an unauthenticated SQL Injection vulnerability in the Easy View due to imp
21:16 KSA
An low privileged remote attacker can exploit an unauthenticated SQL Injection vulnerability in the Easy View due to improper neutralization of special elements in a SQL SELECT command. This can result in a total loss of confidentiality.
CVE-2026-40832
An low privileged remote attacker can exploit an unauthenticated SQL Injection vulnerability in the getDevicegroups func
21:16 KSA
An low privileged remote attacker can exploit an unauthenticated SQL Injection vulnerability in the getDevicegroups function due to improper neutralization of special elements in a SQL SELECT command. This can result in a total loss of confidentiality.
CVE-2026-40835
An low privileged remote attacker can exploit an unauthenticated SQL Injection vulnerability in the saveObjectFromData f
21:16 KSA
An low privileged remote attacker can exploit an unauthenticated SQL Injection vulnerability in the saveObjectFromData function due to improper neutralization of special elements in a SQL SELECT command. This can result in a total loss of confidentiality.
CVE-2026-40837
An low privileged remote attacker can exploit an unauthenticated SQL Injection vulnerability in the getProjectScalings f
21:16 KSA
An low privileged remote attacker can exploit an unauthenticated SQL Injection vulnerability in the getProjectScalings function due to improper neutralization of special elements in a SQL SELECT command. This can result in a total loss of confidentiality.
CVE-2026-40838
An low privileged remote attacker can exploit an unauthenticated SQL Injection vulnerability in the getDeviceScalings fu
21:16 KSA
An low privileged remote attacker can exploit an unauthenticated SQL Injection vulnerability in the getDeviceScalings function due to improper neutralization of special elements in a SQL SELECT command. This can result in a total loss of confidentiality.
CVE-2026-40839
An low privileged remote attacker can exploit an unauthenticated SQL Injection vulnerability in the getComponentScalings
21:16 KSA
An low privileged remote attacker can exploit an unauthenticated SQL Injection vulnerability in the getComponentScalings function due to improper neutralization of special elements in a SQL SELECT command. This can result in a total loss of confidentiality.
CVE-2026-40840
An low privileged remote attacker can exploit an unauthenticated SQL Injection vulnerability in the VerifyCreateLicences
21:16 KSA
An low privileged remote attacker can exploit an unauthenticated SQL Injection vulnerability in the VerifyCreateLicences function due to improper neutralization of special elements in a SQL SELECT command. This can result in a total loss of confidentiality.
CVE-2026-40841
An low privileged remote attacker can exploit an unauthenticated SQL Injection vulnerability in the getProjectTags funct
21:16 KSA
An low privileged remote attacker can exploit an unauthenticated SQL Injection vulnerability in the getProjectTags function due to improper neutralization of special elements in a SQL SELECT command. This can result in a total loss of confidentiality.
CVE-2026-40842
An low privileged remote attacker can exploit an unauthenticated SQL Injection vulnerability in the getWidgetTags functi
21:16 KSA
An low privileged remote attacker can exploit an unauthenticated SQL Injection vulnerability in the getWidgetTags function due to improper neutralization of special elements in a SQL SELECT command. This can result in a total loss of confidentiality.
CVE-2026-40843
An low privileged remote attacker can exploit an unauthenticated SQL Injection vulnerability in the alarming view due to
23:14 KSA
An low privileged remote attacker can exploit an unauthenticated SQL Injection vulnerability in the alarming view due to improper neutralization of special elements in a SQL SELECT command. This can result in a total loss of confidentiality.
ثغرة حقن SQL غير مصرح بها في عرض لوحة التحكم تسمح للمهاجمين البعيدين منخفضي الامتيازات بتنفيذ استعلامات SQL عشوائية. تنتج الثغرة عن عدم تحييد العناصر الخاصة بشكل صحيح في أوامر SQL SELECT، مما يؤدي إلى فقدان كامل السرية.
تسمح هذه الثغرة لمهاجم بدون مصادقة بتنفيذ استعلامات SQL عشوائية عبر عرض devices_configuration. يؤدي الفشل في تحييد الأحرف الخاصة إلى إمكانية الوصول غير المصرح به للبيانات الحساسة. التأثير الرئيسي هو فقدان كامل لسرية البيانات المخزنة في قاعدة البيانات.
تتعلق هذه الثغرة بقابلية النظام للاستغلال من خلال معاملات SQL غير المحايدة في عروض النظام. يمكن للمهاجمين الوصول إلى بيانات حساسة دون الحاجة إلى بيانات اعتماد مصرح بها. التأثير الأساسي هو فقدان السرية الكامل للبيانات المخزنة في قاعدة البيانات.
تسمح هذه الثغرة للمهاجمين غير المصرح لهم بالوصول إلى نظام معين بتنفيذ استعلامات SQL عشوائية عبر عرض system_tag. يمكن للمهاجم استخراج بيانات حساسة من قاعدة البيانات دون الحاجة إلى بيانات اعتماد صحيحة.
ثغرة حقن SQL في وظيفة عرض الوسوم تسمح للمهاجمين البعيدين بتنفيذ استعلامات SQL تعسفية دون الحاجة للمصادقة. تنتج الثغرة عن عدم تحييد العناصر الخاصة في أوامر SQL SELECT بشكل صحيح. يمكن للمهاجمين استخراج بيانات حساسة من قاعدة البيانات مما يؤدي إلى فقدان كامل للسرية.
ثغرة حقن SQL في عرض user_alarmprofile تسمح للمهاجمين البعيدين بدون مصادقة بتنفيذ استعلامات SQL عشوائية. يمكن للمهاجم استخراج بيانات حساسة من قاعدة البيانات بما في ذلك معلومات المستخدمين وبيانات الإنذارات. الثغرة ناتجة عن عدم تحييد العناصر الخاصة في أوامر SQL SELECT بشكل صحيح.
تحتوي ثغرة CVE-2026-44318 على حالة تنافس في معالج PUT /nbsf-management/v1/subscriptions/{subId} حيث تقرأ العملية الخريطة تحت RLock() لكن تكتب إليها بدون قفل mutex عند عدم وجود الاشتراك. يمكن لمهاجم مصرح بتنفيذ طلبات متزامنة متعددة لإجبار وقت تشغيل Go على الانهيار بخطأ concurrent …
ثغرة تفسير التعارض في مكتبة hackney تسمح بهجمات SSRF من خلال استخدام عناوين URL مشفرة بنسبة مئوية. يتم فك تشفير المضيف بعد التحقق من قائمة السماح، مما يسمح بالوصول إلى خدمات البيانات الوصفية للسحابة والشبكات الداخلية. التأثير يشمل جميع طلبات HTTP التي تستخدم عناوين URL ثنائية أو …
ثغرة اجتياز المسار في Agent Zero تسمح للمهاجمين غير المصرح لهم بقراءة ملفات عشوائية من خلال توفير مسارات مصنوعة إلى نقطة نهاية خدمة الصور. تعتمد الثغرة على قائمة امتدادات بيضاء فقط مع تعطيل فحص احتواء المسار بشكل صريح، مما يسمح بالوصول إلى الملفات الحساسة في المجلدات المنزلية وال…
تحتوي الدالة process_netflow_v9_options_template() على حلقات معالجة لا تتحقق من أن الوصول إلى الذاكرة يبقى ضمن حدود حزمة UDP المستقبلة. يمكن للمهاجم إرسال رسائل NetFlow v9 مصنوعة بقيم scope_length و option_length كبيرة لتجاوز حدود المخزن المؤقت. عدم التحقق من محاذاة البيانات قد ي…
يحتوي FastNetMon Community Edition على خلل في دالة parse_raw_bgp_attribute() حيث يتم قراءة بايت واحد فقط بدلاً من بايتين عند تعيين علم الطول الممتد. يؤدي هذا إلى اقتطاع الخصائص الأطول من 255 بايت وسوء تفسير البيانات المتبقية كخصائص لاحقة.
تحتوي نسخ IBM i من 7.3 إلى 7.6 على ثغرة حرمان الخدمة في مترجم لغة البيئة المتكاملة (ILE). يمكن للمهاجمين المصرح لهم استغلال هذه الثغرة بتجميع أكواد مصدرية معيبة تحتوي على مجموعة محددة من الأوامر البرمجية.
تحتوي ميزة الاحتفاظ طويل الأجل في IBM Guardium Data Protection على ثغرة تكشف بيانات اعتماد حساسة عند تفعيل وضع التصحيح. يؤثر هذا على الإصدارات 12.2.1 و 12.2.2 ويمكن أن يؤدي إلى وصول غير مصرح به إلى أنظمة قواعد البيانات.
تؤثر هذه الثغرة على مكون asperahttpd في منتجات IBM Aspera للنقل السريع وتسمح للمستخدمين المصرحين باجتياز قيود المسار وقراءة ملفات تعسفية على الخادم. يتطلب استغلال الثغرة بيانات اعتماد صحيحة لكنه قد يؤدي إلى الكشف عن معلومات حساسة وملفات نظام.
CVE-2026-2030
The WPBakery Page Builder Addons by Livemesh plugin for WordPress is vulnerable to Stored Cross-Site Scripting via the `
00:32 KSA
The WPBakery Page Builder Addons by Livemesh plugin for WordPress is vulnerable to Stored Cross-Site Scripting via the `[lvca_carousel]` and `[lvca_posts_carousel]` shortcode attributes in all versions up to, and including, 3.9.4 due to insufficient input sanitization and output …
ثغرة Stored Cross-Site Scripting في إضافة WPBakery Page Builder Addons تسمح للمستخدمين المصرحين بمستوى المشترك وأعلى بحقن نصوص برمجية ضارة عبر معالج AJAX. تحدث الثغرة بسبب عدم التحقق من صلاحيات المستخدم وعدم كفاية تنظيف المدخلات، مما يؤدي إلى تنفيذ الكود الضار عند وصول المسؤولين …
تحتوي إضافة Livemesh SiteOrigin Widgets للإصدارات حتى 3.9.2 على ثغرة Stored XSS في معالج AJAX lsow_admin_ajax حيث يتحقق من nonce لكن لا يفحص صلاحيات المستخدم. يمكن للمستخدمين المصرحين برتبة Subscriber وما فوق تعديل إعدادات الإضافة وحقن نصوص برمجية ضارة تُنفذ عند وصول المسؤولين لص…
تحتوي إضافة Livemesh Addons for Beaver Builder على ثغرة Stored XSS في معالج AJAX `labb_admin_ajax` بسبب عدم التحقق من صلاحيات المستخدم رغم التحقق من nonce. يمكن للمهاجمين المصرحين بصلاحيات المشترك تعديل إعدادات الإضافة وحقن برامج نصية ضارة تُنفذ عند وصول المسؤولين لصفحة الإعدادات…
CVE-2026-6565
The Style Kits – Advanced Theme Styles for Elementor, Elementor Kits & Elementor Patterns plugin for WordPress is vulner
10:48 KSA
The Style Kits – Advanced Theme Styles for Elementor, Elementor Kits & Elementor Patterns plugin for WordPress is vulnerable to Stored Cross-Site Scripting via the '/wp-json/agwp/v1/tokens/save' endpoint kit title parameter in versions up to, and including, 2.5.0 due to insuffici…
CVE-2026-8040
The faq shortocde plugin for WordPress is vulnerable to Stored Cross-Site Scripting via the 'color' shortcode attribute
13:48 KSA
The faq shortocde plugin for WordPress is vulnerable to Stored Cross-Site Scripting via the 'color' shortcode attribute in the 'faq' shortcode in all versions up to, and including, 1.0 due to insufficient input sanitization and output escaping. This makes it possible for authenti…
CVE-2026-8042
The Github Shortcode plugin for WordPress is vulnerable to Stored Cross-Site Scripting via the 'repo' shortcode attribut
10:32 KSA
The Github Shortcode plugin for WordPress is vulnerable to Stored Cross-Site Scripting via the 'repo' shortcode attribute in the 'github' shortcode in all versions up to, and including, 0.1 due to insufficient input sanitization and output escaping. This makes it possible for aut…
CVE-2026-8048
The My Email Shortcode plugin for WordPress is vulnerable to Stored Cross-Site Scripting via the 'subject' shortcode att
13:48 KSA
The My Email Shortcode plugin for WordPress is vulnerable to Stored Cross-Site Scripting via the 'subject' shortcode attribute in the 'my-email' shortcode in all versions up to, and including, 0.91 due to insufficient input sanitization and output escaping. This makes it possible…
CVE-2026-8698
The Cryptocurrency Prijsvergelijking Widget plugin for WordPress is vulnerable to Stored Cross-Site Scripting in version
16:16 KSA
The Cryptocurrency Prijsvergelijking Widget plugin for WordPress is vulnerable to Stored Cross-Site Scripting in version 1.0. This is due to insufficient output escaping in the as_get_coin_shortcode() function, which renders the 'width' (and 'height') shortcode attribute directly…
CVE-2026-8701
The GNTT Post Title Ticker plugin for WordPress is vulnerable to Stored Cross-Site Scripting in version 1.0 via the `tit
16:16 KSA
The GNTT Post Title Ticker plugin for WordPress is vulnerable to Stored Cross-Site Scripting in version 1.0 via the `title-ticker-slide`, `title-ticker-fade`, and `title-ticker-typing` shortcodes. This is due to insufficient input sanitization and output escaping on shortcode att…
CVE-2026-8702
The GBI To Print plugin for WordPress is vulnerable to Stored Cross-Site Scripting in version 1.0 via the 'div' attribut
16:16 KSA
The GBI To Print plugin for WordPress is vulnerable to Stored Cross-Site Scripting in version 1.0 via the 'div' attribute of the 'gbitoprint' shortcode. This is due to insufficient output escaping in the gbi_toprint_shortcode() function, which concatenates the raw shortcode attri…
CVE-2026-8703
The Endless Scroll plugin for WordPress is vulnerable to Stored Cross-Site Scripting via Shortcode Attributes in all ver
16:16 KSA
The Endless Scroll plugin for WordPress is vulnerable to Stored Cross-Site Scripting via Shortcode Attributes in all versions up to, and including, 1.0.0 due to insufficient input sanitization and output escaping. This makes it possible for authenticated attackers, with contribut…
CVE-2026-8837
The WP Iframe Geo Style for Amazon affiliates plugin for WordPress is vulnerable to Stored Cross-Site Scripting via 'adi
12:18 KSA
The WP Iframe Geo Style for Amazon affiliates plugin for WordPress is vulnerable to Stored Cross-Site Scripting via 'adid' Shortcode Attribute in all versions up to, and including, 1.1 due to insufficient input sanitization and output escaping. This makes it possible for authenti…
CVE-2026-8842
The Google+ Link Name plugin for WordPress is vulnerable to Stored Cross-Site Scripting via the 'gplusnamelink' shortcod
12:18 KSA
The Google+ Link Name plugin for WordPress is vulnerable to Stored Cross-Site Scripting via the 'gplusnamelink' shortcode in versions up to, and including, 1.0. This is due to insufficient input sanitization and output escaping on user supplied attributes ('id' and 'name') in the…
CVE-2026-8844
The Responsive Check plugin for WordPress is vulnerable to Stored Cross-Site Scripting via the 'rspcheck' shortcode in v
12:18 KSA
The Responsive Check plugin for WordPress is vulnerable to Stored Cross-Site Scripting via the 'rspcheck' shortcode in versions up to, and including, 0.0.3. This is due to insufficient input sanitization and output escaping on the 'url' (and 'button') shortcode attributes in the …
CVE-2026-8845
The Islamic Database plugin for WordPress is vulnerable to Stored Cross-Site Scripting via the 'islamicDB-roqya' shortco
12:18 KSA
The Islamic Database plugin for WordPress is vulnerable to Stored Cross-Site Scripting via the 'islamicDB-roqya' shortcode in versions up to, and including, 1.0. This is due to insufficient input sanitization and output escaping on user-supplied 'width' and 'height' shortcode att…
CVE-2026-8846
The Tuxquote plugin for WordPress is vulnerable to Stored Cross-Site Scripting via the 'TUXQUOTE' shortcode in versions
14:48 KSA
The Tuxquote plugin for WordPress is vulnerable to Stored Cross-Site Scripting via the 'TUXQUOTE' shortcode in versions up to, and including, 1.3. This is due to insufficient input sanitization and output escaping on user supplied attributes ('title', 'align', and 'width') in the…
CVE-2026-8847
The Dideo plugin for WordPress is vulnerable to Stored Cross-Site Scripting via the plugin's 'dideo' shortcode in versio
14:48 KSA
The Dideo plugin for WordPress is vulnerable to Stored Cross-Site Scripting via the plugin's 'dideo' shortcode in version 1.0. This is due to insufficient input sanitization and output escaping on the 'id' shortcode attribute, which is interpolated directly into an HTML iframe 's…
CVE-2026-8866
The jQuery googleslides plugin for WordPress is vulnerable to Stored Cross-Site Scripting via the 'googleslides' shortco
14:48 KSA
The jQuery googleslides plugin for WordPress is vulnerable to Stored Cross-Site Scripting via the 'googleslides' shortcode in all versions up to, and including, 1.3. This is due to insufficient input sanitization and output escaping on user supplied attributes (userid, albumid, a…
CVE-2026-8867
The Post Category Gallery plugin for WordPress is vulnerable to Stored Cross-Site Scripting via the plugin's 'postcatego
14:48 KSA
The Post Category Gallery plugin for WordPress is vulnerable to Stored Cross-Site Scripting via the plugin's 'postcategorygallery' shortcode in versions up to, and including, 1.0.0. This is due to insufficient input sanitization and output escaping on user-supplied shortcode attr…
CVE-2026-8868
The Single Mailchimp plugin for WordPress is vulnerable to Stored Cross-Site Scripting via the 'single-mailchimp' shortc
14:48 KSA
The Single Mailchimp plugin for WordPress is vulnerable to Stored Cross-Site Scripting via the 'single-mailchimp' shortcode in all versions up to, and including, 1.4. This is due to insufficient input sanitization and output escaping on user-supplied shortcode attributes (autocom…
تحتوي ثغرة التطبيق على نقص في تنظيف مدخلات المستخدم وعدم الهروب من المخرجات في دالة mfd_shortcode()، حيث يتم دمج خاصية 'title' مباشرة في عنصر HTML caption. يمكن للمهاجمين المصرحين بمستوى المساهم أو أعلى حقن برامج نصية تعسفية تُنفذ في سياق متصفح المستخدم.
يعاني مكون Team Master من ثغرة Stored XSS تسمح للمساهمين المصرحين بحقن برامج نصية ضارة في سمات الاختصار. تُنفذ هذه البرامج النصية عندما يزور أي مستخدم الصفحة المحقونة، مما قد يؤدي إلى سرقة الجلسات أو بيانات المستخدم.
CVE-2026-8871
ثغرة XSS مخزنة في مكون Formidable Kinetic لـ WordPress عبر اختصار kinetic_link
14:48 KSA
ثغرة XSS مخزنة في مكون Formidable Kinetic تسمح للمساهمين المصرح لهم بحقن برامج نصية عشوائية عبر سمات اختصار 'kinetic_link' غير المنظفة بشكل صحيح. تنفذ البرامج الضارة المحقونة عندما يزور المستخدمون الصفحات المتأثرة، مما يعرض بيانات الجلسة والمعلومات الحساسة للخطر. هذه الثغرة تؤثر …
CVE-2026-8872
The Animate Your Content plugin for WordPress is vulnerable to Stored Cross-Site Scripting via the plugin's 'animation-s
19:54 KSA
The Animate Your Content plugin for WordPress is vulnerable to Stored Cross-Site Scripting via the plugin's 'animation-set' shortcode in versions up to, and including, 1.0.0. This is due to insufficient input sanitization and output escaping on user supplied attributes in the sho…
CVE-2026-8873
The Content Slideshow plugin for WordPress is vulnerable to Stored Cross-Site Scripting via Shortcode Attributes in all
19:54 KSA
The Content Slideshow plugin for WordPress is vulnerable to Stored Cross-Site Scripting via Shortcode Attributes in all versions up to, and including, 2.4.1 due to insufficient input sanitization and output escaping. This makes it possible for authenticated attackers, with contri…
CVE-2026-8875
The Easy Prism Syntax Highlighter plugin for WordPress is vulnerable to Stored Cross-Site Scripting via the plugin's 'co
19:54 KSA
The Easy Prism Syntax Highlighter plugin for WordPress is vulnerable to Stored Cross-Site Scripting via the plugin's 'code' (and 'c') shortcode in versions up to, and including, 1.0.2. This is due to insufficient input sanitization and output escaping on user supplied shortcode a…
CVE-2026-8877
ثغرة Stored XSS في إضافة Responsive Video Embedder لـ WordPress عبر Shortcode
19:54 KSA
إضافة Responsive Video Embedder لـ WordPress تحتوي على ثغرة Stored Cross-Site Scripting في دالة video_shortcode() حيث لا يتم تنظيف مدخلات المستخدم بشكل كافٍ للخصائص 'id' و 'list'. يمكن للمستخدمين الذين لديهم صلاحيات المساهم أو أعلى حقن برامج نصية ضارة تُنفذ عند وصول أي مستخدم إلى…
تحتوي إضافة Instant-Quote.co Quotation Page للووردبريس على ثغرة Stored XSS في سمات Shortcode بسبب عدم كفاية تنظيف المدخلات والتحقق من المخرجات. يمكن للمستخدمين المصرحين على مستوى المساهم حقن نصوص برمجية ضارة تُنفذ عند وصول المسؤولين أو المستخدمين الآخرين إلى الصفحات المتأثرة.
تحتوي إضافة hk_shortcode على ثغرة Stored XSS في دالة huankong_post_short_title_plane() حيث يتم دمج سمة 'title' مباشرة في مخرجات HTML دون أي هروب. يمكن للمهاجمين المصرح لهم على مستوى المساهم أو أعلى حقن نصوص برمجية عشوائية تُنفذ عند وصول المستخدمين إلى الصفحات المصابة.
ثغرة Stored XSS في إضافة Listen Shortcode لـ WordPress تسمح للمستخدمين المصرح لهم بمستوى المساهم وما فوقه بحقن نصوص برمجية خبيثة عبر سمات الاختصار (src, start, end). تنفذ البرامج النصية المحقونة تلقائياً عند وصول أي مستخدم إلى الصفحة المتأثرة.
CVE-2026-8891
The BitForm plugin for WordPress is vulnerable to Stored Cross-Site Scripting via the plugin's 'bitform' shortcode in ve
00:32 KSA
The BitForm plugin for WordPress is vulnerable to Stored Cross-Site Scripting via the plugin's 'bitform' shortcode in versions up to, and including, 1.1.0. This is due to insufficient input sanitization and output escaping on user-supplied shortcode attributes ('width' and 'heigh…
CVE-2026-8894
The iWR Tooltip plugin for WordPress is vulnerable to Stored Cross-Site Scripting via the plugin's `iwrtooltip` shortcod
00:32 KSA
The iWR Tooltip plugin for WordPress is vulnerable to Stored Cross-Site Scripting via the plugin's `iwrtooltip` shortcode in versions up to, and including, 1.0. This is due to insufficient input sanitization and output escaping on user supplied attributes in the iwr_tooltip() sho…
CVE-2026-8897
The Shortcode Buddy plugin for WordPress is vulnerable to Stored Cross-Site Scripting via Shortcode Attributes in all ve
00:32 KSA
The Shortcode Buddy plugin for WordPress is vulnerable to Stored Cross-Site Scripting via Shortcode Attributes in all versions up to, and including, 0.1.9.5 due to insufficient input sanitization and output escaping. This makes it possible for authenticated attackers, with contri…
CVE-2026-8898
ثغرة Cross-Site Scripting المخزنة في إضافة Events In City لـ WordPress عبر اختصار org-events
00:32 KSA
تحتوي إضافة Events In City على ثغرة Stored XSS في دالة org_event_scode() حيث يتم دمج قيم السمات مباشرة في خصائص HTML دون تجنب مناسب. يمكن للمستخدمين الذين لديهم صلاحيات المساهم أو أعلى حقن نصوص برمجية ضارة تنفذ عند وصول المستخدمين إلى الصفحات المتأثرة.
ثغرة Stored XSS في إضافة Auto Thumbnail للـ WordPress تؤثر على جميع الإصدارات حتى 1.0، حيث تفتقر دالة athn_thumbnails() إلى التنظيف الكافي للمدخلات وترميز المخرجات. يمكن للمستخدمين المصرح لهم على مستوى المساهم وما فوق حقن نصوص برمجية عشوائية في صفحات الويب التي ستُنفذ عند وصول أي…
CVE-2026-9022
The Splide Carousel Block plugin for WordPress is vulnerable to Stored Cross-Site Scripting via 'url' Block Attribute in
10:48 KSA
The Splide Carousel Block plugin for WordPress is vulnerable to Stored Cross-Site Scripting via 'url' Block Attribute in all versions up to, and including, 1.7.1 due to insufficient input sanitization and output escaping. This makes it possible for authenticated attackers, with c…
CVE-2026-9342
A security flaw has been discovered in SourceCodester Hospitals Patient Records Management System 1.0. Impacted is an un
20:16 KSA
A security flaw has been discovered in SourceCodester Hospitals Patient Records Management System 1.0. Impacted is an unknown function of the file /admin/patients/view_history.php. The manipulation of the argument ID results in sql injection. The attack may be launched remotely. …
CVE-2026-9347
A vulnerability has been found in Edimax EW-7438RPn up to 1.31. Affected is the function formWizSurvey of the file /gofo
20:16 KSA
A vulnerability has been found in Edimax EW-7438RPn up to 1.31. Affected is the function formWizSurvey of the file /goform/formWizSurvey of the component webs. The manipulation of the argument ip/mask/gateway leads to os command injection. It is possible to initiate the attack re…
CVE-2026-9359
A vulnerability was identified in Edimax EW-7438RPn 1.28a. Affected by this vulnerability is the function formHwSet of t
20:16 KSA
A vulnerability was identified in Edimax EW-7438RPn 1.28a. Affected by this vulnerability is the function formHwSet of the file /goform/formHwSet of the component POST Request Handler. The manipulation of the argument Anntena/Mcs/regDomain/nic0Addr/nic1Addr/wlanAddr/wanAddr/wlanS…
CVE-2026-9361
A weakness has been identified in Edimax EW-7438RPn 1.12. This affects the function formAccept of the file /goform/formA
20:16 KSA
A weakness has been identified in Edimax EW-7438RPn 1.12. This affects the function formAccept of the file /goform/formAccep of the component POST Request Handler. This manipulation of the argument submit-url causes command injection. The attack may be initiated remotely. The exp…
CVE-2026-9362
A security vulnerability has been detected in Edimax EW-7438RPn 1.12. This vulnerability affects the function formConnec
20:16 KSA
A security vulnerability has been detected in Edimax EW-7438RPn 1.12. This vulnerability affects the function formConnectionSetting of the file /goform/formConnectionSetting of the component Setting Handler. Such manipulation of the argument max_Conn/timeOut leads to command inje…
CVE-2026-9363
A vulnerability was detected in Edimax EW-7438RPn 1.12. This issue affects the function formEZCHNwlanSetup of the file /
20:16 KSA
A vulnerability was detected in Edimax EW-7438RPn 1.12. This issue affects the function formEZCHNwlanSetup of the file /goform/formEZCHNwlanSetu of the component POST Request Handler. Performing a manipulation of the argument method results in command injection. Remote exploitati…
CVE-2026-9533
ثغرة حقن أوامر نظام التشغيل في معالج ترقية البرامج الثابتة لجهاز Totolik CA750-PoE
20:16 KSA
ثغرة في جهاز Totolik CA750-PoE تسمح بحقن أوامر نظام التشغيل عن بعد من خلال معالج ترقية البرامج الثابتة. يمكن للمهاجمين التلاعب بمعاملات fwUrl و magicid لتنفيذ أوامر تعسفية على الأجهزة المتأثرة. الاستغلال متاح للعامة ويشكل تهديداً فوري للبنية التحتية للشبكات.
تتعلق الثغرة بمعالج قوالب الرسائل في Dromara lamp-cloud حيث يفشل النظام في تحييد العناصر الخاصة المستخدمة في محرك القوالب. يمكن للمهاجمين إرسال محتوى قالب ضار عبر DefMsgTemplate.content لتنفيذ كود تعسفي على الخادم.
CVE-2026-9511
A vulnerability was identified in Totolink CA750-PoE 6.2c.510. This affects the function setWebWlanIdx of the file /cgi-
20:16 KSA
A vulnerability was identified in Totolink CA750-PoE 6.2c.510. This affects the function setWebWlanIdx of the file /cgi-bin/cstecgi.cgi of the component Setting Handler. Such manipulation of the argument webWlanIdx leads to os command injection. It is possible to launch the attac…
CVE-2026-9512
A security flaw has been discovered in Totolink CA750-PoE 6.2c.510. This vulnerability affects the function setPasswordC
20:16 KSA
A security flaw has been discovered in Totolink CA750-PoE 6.2c.510. This vulnerability affects the function setPasswordCfg of the file /cgi-bin/cstecgi.cgi of the component Setting Handler. Performing a manipulation of the argument admuser/admpass results in os command injection.…
تؤثر هذه الثغرة على وظيفة NTPSyncWithHost في ملف /cgi-bin/cstecgi.cgi حيث يمكن معالجة معامل host_time بشكل غير آمن. يسمح هذا للمهاجمين بحقن أوامر نظام التشغيل وتنفيذها بامتيازات الجهاز. تم الإفصاح العام عن هذه الثغرة مما يزيد من خطر الاستغلال الفوري.
ثغرة حقن أوامر نظام التشغيل في جهاز Totolik CA750-PoE تسمح للمهاجمين بتمرير معاملات غير معالجة مباشرة إلى أوامر النظام. يمكن استغلال المعاملات NetDiagHost و NetDiagPingNum و NetDiagPingSize و NetDiagPingTimeOut و NetDiagTracertHop لتنفيذ أوامر عشوائية على الجهاز.
تحتوي نسخة 6.2c.510 من جهاز توتولينك CA750-PoE على ثغرة حقن أوامر نظام التشغيل في مكون معالج الإعدادات. يمكن للمهاجمين استغلال هذه الثغرة عن بعد دون الحاجة إلى بيانات اعتماد للوصول إلى النظام. تم الكشف عن هذه الثغرة علنًا وقد تكون قيد الاستخدام الفعلي.
ثغرة حقن SQL في مكون نقطة النهاية REST لتطبيق xianrendzw EasyReport تسمح بتنفيذ استعلامات SQL عشوائية. يمكن للمهاجمين البعيدين استغلال هذه الثغرة من خلال معامل reportParams دون الحاجة إلى المصادقة. البائع لم يستجب لإشعارات الكشف المبكر.
تم تحديد ضعف حقن أوامر نظام التشغيل في جهاز Totolink CA750-PoE الإصدار 6.2c.510 في دالة setUpgradeUboot بملف /cgi-bin/cstecgi.cgi. يمكن للمهاجمين البعيدين استغلال هذه الثغرة من خلال معامل FileName لتنفيذ أوامر تعسفية على النظام.
تم اكتشاف ثغرة حقن أوامر نظام التشغيل في جهاز التوجيه Totolink CA750-PoE الإصدار 6.2c.510 في دالة setUploadUserData. يمكن للمهاجمين البعيدين استغلال هذه الثغرة من خلال معامل FileName لتنفيذ أوامر تعسفية بدون مصادقة.
تم اكتشاف ثغرة حقن أوامر في جهاز التوجيه Edimax BR-6675nD الإصدار 1.12 في دالة formUSBStorage التي تتعامل مع طلبات POST. يمكن للمهاجمين البعيدين استغلال معامل sub_dir لتنفيذ أوامر عشوائية على الجهاز. البائع لم يستجب لإشعارات الكشف المبكر والاستغلال متاح بالفعل للجمهور.
ثغرة حقن SQL في نظام إدارة الإجازات CodeAstro الإصدار 1.0 تسمح للمهاجمين بتنفيذ استعلامات SQL عشوائية عبر معامل email_id في ملف /admin/add_staff.php. الثغرة قابلة للاستغلال عن بعد وتم الكشف عن طريقة استغلالها علنًا، مما يزيد من خطر الهجمات.
تم اكتشاف ثغرة في JeecgBoot تؤثر على وظيفة user.getUsername في ملف /sys/user/login/setting/userEdit من مكون SysUser. يمكن للمهاجمين البعيدين استغلال هذه الثغرة بمعالجة معامل userIdentity لتجاوز التحكم بالوصول. تم نشر طريقة الاستغلال علناً مما يزيد من خطورة الموقف.
CVE-2026-9581
A vulnerability was identified in JeecgBoot up to 3.9.1. The impacted element is an unknown function of the file /sys/co
05:39 KSA
A vulnerability was identified in JeecgBoot up to 3.9.1. The impacted element is an unknown function of the file /sys/comment/add. Such manipulation leads to improper access controls. The attack can be executed remotely. The exploit is publicly available and might be used. Upgrad…
تم اكتشاف ثغرة حقن أوامر في جهاز توجيه Edimax BR-6675nD الإصدار 1.12 في دالة معالجة طلبات POST formWpsStart. يمكن للمهاجمين البعيدين استغلال معامل pinCode لتنفيذ أوامر نظام تعسفية دون الحاجة للمصادقة. تم نشر أكواد الاستغلال علناً مما يزيد من خطورة الثغرة.
CVE-2026-9607
A vulnerability was found in itsourcecode Courier Management System 1.0. The affected element is an unknown function of
10:48 KSA
A vulnerability was found in itsourcecode Courier Management System 1.0. The affected element is an unknown function of the file /parcel_list.php. Performing a manipulation of the argument s results in sql injection. It is possible to initiate the attack remotely. The exploit has…
CVE-2026-9378
A security flaw has been discovered in Edimax BR-6675nD 1.12. This affects the function formHwSet of the file /goform/fo
20:16 KSA
A security flaw has been discovered in Edimax BR-6675nD 1.12. This affects the function formHwSet of the file /goform/formHwSet of the component POST Request Handler. The manipulation of the argument regDomain/ABandregDomain/nic0Addr/nic1Addr/wlanAddr/inicAddr results in command …
CVE-2026-9376
ثغرة التفويض غير الصحيح في نقطة نهاية تقديم المقالات في JPress (CVE-2026-9376)
20:16 KSA
تسمح ثغرة التفويض غير الصحيح في JPress للمهاجمين بمعالجة معاملات معرف المستخدم في وظيفة تقديم المقالات لتجاوز فحوصات التفويض. يمكن للمهاجمين البعيدين استغلال هذه الثغرة لتنفيذ إجراءات غير مصرح بها نيابة عن مستخدمين آخرين. تم الكشف عن الثغرة علناً والمشروع لم يستجب بعد للإصلاح.
CVE-2026-9374
A vulnerability was found in yangzongzhuan RuoYi-Vue up to 3.9.2. Impacted is the function FileUploadUtils.upload of the
20:16 KSA
A vulnerability was found in yangzongzhuan RuoYi-Vue up to 3.9.2. Impacted is the function FileUploadUtils.upload of the file /common/upload of the component Common Upload Endpoint. Performing a manipulation results in unrestricted upload. The attack is possible to be carried out…
CVE-2026-9441
A security flaw has been discovered in Edimax BR-6478AC 1.23. Affected by this issue is the function formiNICbasic of th
20:16 KSA
A security flaw has been discovered in Edimax BR-6478AC 1.23. Affected by this issue is the function formiNICbasic of the file /goform/formiNICbasic of the component POST Request Handler. Performing a manipulation of the argument rootAPmac results in command injection. The attack…
يؤثر هذا الثغرة على نظام الفواتير الهندي من SourceCodester الإصدار 1.0 حيث توجد ضوابط وصول غير صحيحة في نقاط نهاية الخادم الخلفي. يمكن للمهاجمين البعيدين استغلال هذه الثغرة للوصول غير المصرح به إلى البيانات الحساسة المتعلقة بالفواتير والعملاء.
تم اكتشاف ثغرة حقن في KLiK SocialMediaWebsite الإصدار 1.0 في معالج معاملات HTTP GET، مما يسمح بحقن أوامر ضارة عن بعد. الاستغلال متاح علناً ويمكن استخدامه من قبل المهاجمين لتنفيذ أكواد ضارة.
تحتوي نسخة البرنامج الثابت 1.31 من جهاز التوجيه Edimax EW-7438RPn على ثغرة حقن أوامر نظام التشغيل في معالج نوع المحتوى للدالة formWlanMP. يمكن للمهاجمين البعيدين استغلال معاملات متعددة غير مصرح بها مثل ateFunc و ateGain و ateTxCount والمعاملات المتعلقة بالطاقة والتردد لتنفيذ أوام…
ثغرة حقن أوامر نظام التشغيل في DTStack Taier 1.4.0 تسمح للمهاجمين بتنفيذ أوامر عشوائية عبر معامل sqlText في واجهة REST API. الهجوم يمكن تنفيذه عن بعد بدون الحاجة إلى مصادقة، والاستغلالات متاحة للجمهور.
تم اكتشاف ثغرة حقن SQL في نظام الفواتير الهندي من SourceCodester الإصدار 1.0 في ملف /Invoicing/IGST_Invoice.php. يمكن للمهاجمين التلاعب بمعاملات customer_name و category لتنفيذ استعلامات SQL عشوائية والوصول إلى قاعدة البيانات. تم الإفصاح العام عن هذه الثغرة وقد تكون هناك استغلالا…
تؤثر هذه الثغرة على وظيفة stainfo في ملف /goform/stainfo في جهاز توجيه Edimax BR-6675nD الإصدار 1.12. يمكن للمهاجمين البعيدين استغلال معامل الواجهة لحقن أوامر تعسفية وتنفيذها على الجهاز. تم الكشف عن الثغرة علناً والبائع لم يستجب لطلبات الإفصاح المسؤول.
ثغرة حقن الأوامر في جهاز التوجيه Edimax BR-6675nD تسمح للمهاجمين بتنفيذ أوامر نظام تعسفية من خلال معاملات تكوين لاسلكية متعددة في دالة formWlanMP. يمكن استغلال الثغرة عن بعد دون الحاجة إلى مصادقة، مما يعرض شبكات المؤسسات والمنازل الذكية للخطر. البائع لم يستجب لإشعارات الكشف المسؤ…
تؤثر هذه الثغرة على معالج طلبات POST في جهاز التوجيه Edimax BR-6478AC حيث يمكن للمهاجمين حقن أوامر نظام عبر معامل submit-url. الاستغلال متاح بشكل عام والشركة المصنعة لم تستجب لإشعارات الكشف المبكر.
تؤثر هذه الثغرة على مكتبة tcc-transaction حتى الإصدار 2.1.0 في مكون Fastjson AutoType REST API. يمكن للمهاجمين البعيدين استغلال هذا الخلل من خلال دالة Fastjson.parseObject لتنفيذ كود عشوائي. المورد لم يستجب للإفصاح المبكر عن هذه الثغرة.
تم اكتشاف ثغرة في نظام SourceCodester Simple POS and Inventory System الإصدار 1.0 تسمح بتحميل ملفات غير مقيدة عبر معالج امتدادات الملفات في ملف /admin/addproduct.php. يمكن للمهاجمين البعيدين استغلال هذه الثغرة بمعالجة معامل الصورة لتحميل ملفات ضارة وتنفيذ أكواد خبيثة.
يؤثر هذا الضعف على نظام إدارة الموظفين من code-projects الإصدار 1.0 في ملف /changepassemp.php، مما يسمح بحقن أوامر SQL من قبل مهاجمين بعيدين. تتوفر أدوات استغلال عامة للجمهور، مما يزيد من خطر الاستهداف الفعلي للمنظمات التي تستخدم هذا النظام.
CVE-2026-9450
A security flaw has been discovered in code-projects Employee Management System 1.0. Affected is an unknown function of
20:16 KSA
A security flaw has been discovered in code-projects Employee Management System 1.0. Affected is an unknown function of the file /psubmit.php. The manipulation of the argument pid results in sql injection. It is possible to launch the attack remotely. The exploit has been release…
CVE-2026-9451
A weakness has been identified in code-projects Employee Management System 1.0. Affected by this vulnerability is an unk
20:16 KSA
A weakness has been identified in code-projects Employee Management System 1.0. Affected by this vulnerability is an unknown functionality of the file /process/applyleaveprocess.php. This manipulation of the argument ID causes sql injection. The attack can be initiated remotely. …
CVE-2026-9468
اجتياز المسار في دالة handleInitializeMemoryBank بـ dazeb cline-mcp-memory-bank
20:16 KSA
تم اكتشاف ثغرة اجتياز مسار في مشروع dazeb cline-mcp-memory-bank تؤثر على وظيفة handleInitializeMemoryBank في ملف src/index.ts. يمكن للمهاجمين البعيدين استغلال معامل projectPath للوصول إلى ملفات حساسة خارج المجلدات المقصودة. تم الإفصاح العام عن الثغرة وتوفر استغلالات نشطة.
تم اكتشاف ثغرة اجتياز مسار في مكتبة dazeb markdown-downloader تؤثر على وظائف تحميل الملفات وإدارة المجلدات الفرعية. يمكن للمهاجمين البعيدين استغلال هذه الثغرة للوصول إلى ملفات خارج المجلد المقصود أو إنشاء ملفات في مواقع غير مصرح بها. لم يستجب مطورو المشروع للإبلاغ عن المشكلة حتى …
تسمح ثغرة عبور المسارات في c-rick jimeng-mcp 1.10.0 للمهاجمين بالوصول إلى ملفات خارج الدليل المقصود من خلال استخدام تسلسلات مثل ../ في معامل filePath. تؤثر الثغرة على وظائف متعددة مسؤولة عن معالجة الملفات والصور والفيديو. تم الإفصاح عن الثغرة علناً ولم يستجب المشروع للإبلاغ عنها …
تم اكتشاف ثغرة في نظام إدارة درجات الطلاب من SourceCodester الإصدار 1.0 تسمح بالتلاعب بمعامل student_id في ملف grades.php. يمكن للمهاجمين البعيدين استغلال هذه الثغرة للوصول غير المصرح إليه إلى سجلات الدرجات الخاصة بالطلاب الآخرين. الثغرة تتعلق بفشل التحقق من التفويض والصلاحيات.
تم اكتشاف ثغرة في نظام إدارة درجات الطلاب من SourceCodester الإصدار 1.0 تسمح بتجاوز آليات التفويض. يمكن للمهاجمين البعيدين التلاعب بمعامل classroom_id في ملف classroom.php للوصول غير المصرح به إلى بيانات الطلاب والفصول الدراسية.
تحتوي نسخة NASA openVSP 3.16.1 على ثغرة تجاوز المخزن المؤقت في واجهة إضافة pod متصفح Geom. يمكن للمهاجمين المحليين استغلال هذه الثغرة بإدخال سلسلة طويلة جداً (5000 بايت) في حقل اسم الهندسة مما يؤدي إلى توقف التطبيق.
Visual Ping 0.8.0.0 يعاني من ثغرة تجاوز المخزن المؤقت في معالجة حقول الإدخال المختلفة. يمكن للمهاجمين المحليين استغلال هذه الثغرة بإدخال بيانات تتجاوز حد معين (4108 بايت) لإحداث انهيار التطبيق. الثغرة تؤثر على عدة حقول إدخال مما يزيد من سطح الهجوم المحتمل.
CVE-2018-25378
Notebook Pro 2.0 contains a denial of service vulnerability that allows local attackers to crash the application by supp
20:16 KSA
Notebook Pro 2.0 contains a denial of service vulnerability that allows local attackers to crash the application by supplying an excessively long string in the notebook name field. Attackers can create a malicious text file containing 500 or more characters, paste the content int…
تحتوي حزمة إدارة التخزين من Synology على ثغرة في معالجة طلبات التشفير حيث يتم نقل المعلومات الحساسة عبر معاملات GET بدلاً من POST. يمكن للمهاجمين المحليين الوصول إلى سجل المتصفح أو ذاكرة التخزين المؤقت لاستخراج بيانات حساسة.
⚠️ استخبارات التهديدات
38 تهديد
rss:Dark Reading
—
03:36 KSA
عصابات الفدية تظهر شخصياً لسرقة بيانات شركات المحاماة
حذرت وكالة التحقيقات الفيدرالية من أن عصابة Silent Ransom Group تستهدف شركات المحاماة من خلال هندسة اجتماعية للوصول غير المصرح به إلى الخوادم وقواعد البيانات. يجمع هذا التهديد بين هجمات الفدية والحضور الفعلي …
rss:SecurityWeek
—
00:16 KSA
رئيس الجاسوسية السيبرانية البريطاني يصف الذكاء الاصطناعي بأنه 'قوة لا يمكن إيقافها' ويحذر من روسيا
يحذر مسؤولو الاستخبارات السيبرانية البريطانيون من تصعيد روسيا للأنشطة الإلكترونية العدائية في منطقة رمادية أقل من الحرب التقليدية. يسلط التحذير الضوء على…
rss:CISA Advisories
—
00:16 KSA
وكالة الأمن السيبراني الأمريكية تضيف ثلاث ثغرات معروفة مستغلة إلى الكتالوج
أضافت وكالة الأمن السيبراني الأمريكية ثلاث ثغرات جديدة إلى كتالوج الثغرات المعروفة المستغلة، بما في ذلك CVE-2026-8398 في Daemon Tools Lite التي تحتوي على كود ضار مدمج و CVE-2026-45321 في …
rss:Dark Reading
—
23:00 KSA
تطوير الاستغلالات بمساعدة الذكاء الاصطناعي يتفوق على كشف الماسحات الضوئية
يستخدم المهاجمون تكنولوجيا الذكاء الاصطناعي لتسريع تطوير الاستغلالات بشكل كبير للثغرات المعروفة، مما يقلل من نافذة الوقت المتاحة للاستغلال. يسمح هذا التقدم للجهات الفاعلة بتجاوز كشف الماسح…
rss:Dark Reading
—
23:00 KSA
مجرمو الإنترنت في أمريكا اللاتينية يجمعون بيانات حكومية
تسرب 5.8 مليون سجل لمواطنين أوروغويين يمثل اتجاهاً متصاعداً لمجرمي الإنترنت الذين يستهدفون الوكالات الحكومية لسرقة وتسييل البيانات الشخصية. يسلط هذا الحادث الضوء على ضعف قواعد البيانات الحكومية أمام هجمات ا…
rss:The Hacker News
—
23:00 KSA
حزمة npm ضارة سرقت الملفات من دليل مستخدم Claude AI عبر GitHub
تم اكتشاف حزمة npm ضارة باسم 'mouse5212-super-formatter' تتمتع بقدرات سرقة المعلومات تستهدف أدلة مستخدمي Claude AI. تم تصميم الحزمة لسرقة الملفات من دليل /mnt/user-data، مما قد يعرض البيانات الحساسة …
rss:The Hacker News
—
23:00 KSA
حملات برامج Grandoreiro و BTMOB RAT تستهدف مستخدمي Windows و Android
تستهدف حملات حصان طروادة مصرفية أمريكا اللاتينية وأوروبا بتوزيع برامج Grandoreiro و BTMOB الضارة للتسلل إلى أجهزة Windows و Android. تم تصميم عائلات البرامج الضارة لسرقة بيانات اعتماد العمليات …
rss:SecurityWeek
—
20:35 KSA
ثغرة في برنامج المؤتمرات الشهير تمنح المهاجمين معدل قبول 100% للعروض التقديمية
اكتشف باحثون في شركة نوفي ثغرة حرجة في أداة إدارة CFP مفتوحة المصدر تسمى Pretalx والمستخدمة من قبل منظمي المؤتمرات. يمكن لهذه الثغرة أن تسمح للمهاجمين بالوصول غير المصرح إلى أنظمة إدا…
rss:The Hacker News
—
20:35 KSA
3 خطوات في مركز العمليات الأمنية لإيقاف مخاطر الحوادث مبكراً
تناقش المقالة كيف تتجاوز التهديدات السيبرانية الحديثة الدفاعات التقليدية للمحيط بإخفاء نفسها كنشاط روتيني والاختباء داخل العمليات الشرعية. وتؤكد على أن الاستجابة الفعالة للحوادث تتطلب من فرق مراكز العم…
rss:BleepingComputer
—
20:35 KSA
هل يمكنك فرض قواعد كلمات مرور قوية في Active Directory دون إحباط المستخدمين؟
تناقش المقالة التوازن بين أمان كلمات المرور القوية في Active Directory وتجربة المستخدم من خلال تطبيق العبارات الكلامية وكشف كلمات المرور المخترقة وآليات إعادة تعيين كلمات المرور ذاتية ا…
rss:Malwarebytes Lab
—
19:32 KSA
مجموعة Kali365 للتصيد الاحتيالي تتجاوز المصادقة متعددة العوامل وتسرق بيانات اعتماد Microsoft
حذرت مكتب التحقيقات الفيدرالي من مجموعة تصيد احتيالي متطورة تسمى Kali365 تتمكن من تجاوز المصادقة متعددة العوامل واختراق حسابات Microsoft بما في ذلك Outlook و Teams و One…
rss:SecurityWeek
—
19:32 KSA
هجوم سيبراني على مترو لوس أنجلوس مرتبط بقراصنة إيرانيين برعاية الدولة
تعرض مترو لوس أنجلوس لهجوم سيبراني ادعت به مجموعة هاكتيفست، لكن التحليل الجنائي كشف أن الهجوم استخدم بنية تحتية مرتبطة بجهات تهديد برعاية الدولة الإيرانية.
rss:SecurityWeek
—
19:32 KSA
قمة مخاطر الذكاء الاصطناعي من SecurityWeek في 11-12 أغسطس في فندق ريتز كارلتون
تستضيف SecurityWeek قمة مخاطر الذكاء الاصطناعي السنوية الثالثة التي تجمع قادة الأمن السيبراني والمسؤولين التنفيذيين والباحثين والمشرعين لمعالجة المخاطر الأمنية الناشئة المتعلقة بالذكا
rss:Dark Reading
—
19:32 KSA
تطور الأمن السيبراني: كيف انتقلنا من الدفاع المحيطي إلى الأمن الأصلي المدعوم بالذكاء الاصطناعي
تتناول المقالة تطور صناعة الأمن السيبراني على مدى عشرين سنة، وتفحص كيف تحولت أساليب الأمن من آليات الدفاع التقليدية المعتمدة على المحيط إلى حلول أمن أصلية مدعومة بالذك…
rss:The Hacker News
—
19:32 KSA
تفكيك البنية التحتية لهجمات سلسلة التوريد الخاصة ببرنامج GlassWorm الضار
أعلنت CrowdStrike وGoogle ومؤسسة Shadowserver عن تفكيك ناجح لجميع قنوات التحكم والسيطرة الخاصة ببرنامج GlassWorm، وهي حملة برامج ضارة متطورة تستهدف مطوري البرامج من خلال حزم وملحقات خبيثة. …
rss:BleepingComputer
—
19:32 KSA
تفكيك شبكة Glassworm الخبيثة بعد إيقاف بنية قيادة التحكم المرنة
تم تفكيك شبكة Glassworm الخبيثة التي استهدفت مطوري البرامج في هجمات سلسلة التوريد، وذلك بعد إيقاف بنية قيادة التحكم الخاصة بها التي اعتمدت على تقنية البلوكتشين Solana وشبكة BitTorrent DHT. يمثل هذا …
rss:SecurityWeek
—
18:06 KSA
RevEng.AI تجمع 15 مليون دولار للبحث عن الثغرات والأبواب الخلفية في البرامج الثنائية
حصلت شركة RevEng.AI على تمويل بقيمة 15 مليون دولار لتطوير نموذج ذكاء اصطناعي يسمى BinNet للكشف عن الثغرات والأبواب الخلفية في البرامج الثنائية. تعالج هذه التكنولوجيا مخاطر أمان س…
rss:SecurityWeek
—
18:06 KSA
Lastwall تجمع 11.5 مليون دولار لمنصة هوية مقاومة للحوسبة الكمية
جمعت شركة Lastwall 11.5 مليون دولار لتطوير حلول هوية مقاومة للحوسبة الكمية، مع خطط للتوسع في جميع أنحاء أمريكا الشمالية. يعكس هذا الاستثمار التركيز المتزايد للمنظمات على التشفير ما بعد الكم وتحصين ا…
rss:SecurityWeek
—
18:06 KSA
محكمة أمريكية تحكم بالسجن على قرصان روماني لبيعه الوصول إلى شبكة حكومية
تم الحكم على القرصار الروماني كاتالين دراغومير بالسجن في الولايات المتحدة لبيعه وصولاً غير مصرح به إلى شبكة مكتب حكومي في ولاية أوريغون. تسلط هذه القضية الضوء على مخاطر التهديدات الداخلية وا…
rss:Dark Reading
—
18:06 KSA
الأمان يبقى أكبر تحدٍ لذكاء اصطناعي الوكيل في المؤسسات
تعتمد المؤسسات أطر عمل الذكاء الاصطناعي الوكيل لكنها تواجه تحديات أمنية كبيرة في تنفيذها. أدوات وأطر العمل الأمنية لنشر الذكاء الاصطناعي الوكيل بأمان لا تزال في مراحل التطوير المبكرة.
rss:Dark Reading
—
18:06 KSA
قادة الأمن السيبراني بالولايات يطلبون من الكونجرس المزيد من التمويل والدعم
يطلب قادة الأمن السيبراني بالولايات زيادة التمويل الفيدرالي والدعم لبرامج المنح السيبرانية ومبادرات تبادل المعلومات التي تم تقليصها. تعرضت البنية التحتية الحرجة لهجمات مؤذية بسبب تقليل ال…
rss:The Hacker News
—
18:06 KSA
ثغرة في Gitea تكشف صور الحاويات الخاصة دون المصادقة
تسمح ثغرة حرجة في Gitea للمهاجمين غير المصرح لهم بالوصول إلى صور الحاويات الخاصة وسحبها دون بيانات اعتماد. يشكل هذا الخلل خطراً كبيراً على المنظمات التي تستخدم نشرات Gitea ذاتية الاستضافة لتخزين التطبيقات المحت…
rss:BleepingComputer
—
18:05 KSA
تحذير من مكتب التحقيقات الفيدرالي من هجمات سرقة البيانات الشخصية من عصابة الابتزاز
أصدر مكتب التحقيقات الفيدرالي تحذيراً بشأن مجموعة الفدية الصامتة التي تنفذ هجمات سرقة بيانات شخصية موجهة ضد شركات المحاماة الأمريكية. يمثل هذا تصعيداً في تكتيكات الابتزاز يتجاوز ب…
rss:Malwarebytes Lab
—
16:42 KSA
رسائل بريد إلكترونية مزيفة على LinkedIn تسيء استخدام Adobe للتتبع
يقوم المتصيدون بهجمات سرقة بيانات اعتماد ضد مستخدمي LinkedIn من خلال إرسال رسائل بريد إلكترونية احتيالية وإساءة استخدام خدمة Adobe Target لتتبع الضحايا وإعادة توجيههم إلى صفحات LinkedIn الشرعية. ي…
rss:Malwarebytes Lab
—
16:42 KSA
شركة تفاخرت بأن ميكروفونات هواتفها يمكنها الاستماع إلى المحادثات. لم تستطع.
ادعت شركة كوكس ميديا كذباً أن تكنولوجيتها يمكنها التنصت على محادثات المستخدمين عبر ميكروفونات الأجهزة لأغراض الإعلانات الموجهة. كانت ادعاءات الشركة غير مدعومة وضللت المستهلكين بشأن قدرات…
rss:SecurityWeek
—
16:41 KSA
أزمة بيانات الاعتماد: كيف تهزم بيانات الاعتماد المسروقة الأمان الحديث
تمثل بيانات الاعتماد المسروقة ثغرة حرجة في البنية التحتية الأمنية الحديثة، حيث تتفوق هجمات التصيد الاحتيالي والاختطاف المعزز بالذكاء الاصطناعي على القدرات الدفاعية. تواجه المنظمات تحديات متزاي…
rss:SecurityWeek
—
16:41 KSA
هجوم 'SymJack' يحول وكلاء الذكاء الاصطناعي للبرمجة إلى أنظمة توصيل هجمات سلسلة التوريد
يستغل هجوم SymJack وكلاء الذكاء الاصطناعي للبرمجة من خلال المستودعات الضارة والروابط الرمزية المقنعة لتثبيت خوادم MCP غير مصرح بها، مما يمكن المهاجمين من سرقة الأسرا…
rss:SecurityWeek
—
16:41 KSA
تفكيك شبكة GlassWorm الزومبية
نجح الباحثون الأمنيون في تفكيك شبكة GlassWorm الزومبية من خلال إغلاق جميع قنوات القيادة والتحكم الأربع المستخدمة لتنسيق الأنشطة الضارة. يمثل هذا الإجراء المنسق انتصاراً كبيراً في تعطيل البنية التحتية للشبكات الزومبية.
rss:BleepingComputer
—
16:41 KSA
وكالة الأمن السيبراني الأمريكية تمنح الوكالات الفيدرالية 4 أيام لإصلاح ثغرة إضافة cPanel المستغلة بنشاط
أصدرت وكالة الأمن السيبراني والبنية التحتية الأمريكية (CISA) توجيهاً عاجلاً يطلب من الوكالات الفيدرالية إصلاح ثغرة حرجة في إضافة LiteSpeed cPanel خلال 4 أيام …
rss:SecurityWeek
—
15:19 KSA
مكتب التحقيقات الفيدرالي: المتسللون يرسلون عملاء شخصيين لإدراج محركات USB وسرقة البيانات
حذرت مكتب التحقيقات الفيدرالية من مجموعة Silent Ransom Group التي تقوم بعمليات اختراق فعلية لإدراج محركات USB وسرقة البيانات من شركات المحاماة. يمثل هذا نهجاً هجيناً يجمع بي…
rss:BleepingComputer
—
15:19 KSA
تحديث Windows 11 KB5089573 تم إصداره مع تحسينات الأداء
أصدرت مايكروسوفت تحديث KB5089573 التراكمي المعاين لنظام Windows 11 يتضمن 30 تغييراً يركز على تحسينات الأداء والموثوقية. يعالج هذا التحديث استقرار النظام والكفاءة التشغيلية لمستخدمي المؤسسات والمستهلكين.
rss:BleepingComputer
—
15:19 KSA
الشرطة الهولندية تعتقل مشتبهاً به مرتبطاً بعملية اختراق نادي أياكس لكرة القدم
اعتقلت الشرطة الوطنية الهولندية مشتبهاً به يبلغ من العمر 35 سنة متورطاً في اختراق نادي أياكس أمستردام. يمثل الحادث انتهاكاً أمنياً كبيراً يستهدف البنية التحتية لمنظمة رياضية رئيسية.
rss:SecurityWeek
—
14:00 KSA
Anthropic تطلق Claude Sandbox جديد وإضافة توجيهات الأمان
أطلقت Anthropic إضافة Claude Sandbox جديدة مصممة لمساعدة المطورين على تحديد الثغرات أثناء تطوير الكود. تم اختبار إضافة توجيهات الأمان بشكل واسع داخليًا وتهدف إلى تحسين ممارسات البرمجة الآمنة.
rss:SecurityWeek
—
14:00 KSA
CISA تحث على إصلاح فوري لثغرة Zero-Day المستغلة في إضافة LiteSpeed cPanel
تم استغلال ثغرة حرجة من نوع Zero-Day في إضافة LiteSpeed cPanel بشكل فعلي في البرية لتنفيذ سكريبتات بصلاحيات الجذر قبل إصلاحها. تحث CISA على الإصلاح الفوري لمنع اختراق النظام غير المصرح وال…
rss:The Hacker News
—
14:00 KSA
توصيات روبوت الدردشة الذكي توجه المستخدمين إلى مواقع برامج التعدين الخفي
حذرت مايكروسوفت من حملة تعدين عملات رقمية نشطة تستخدم تفاعلات روبوتات الدردشة الذكية لإعادة توجيه المستخدمين إلى مواقع تحميل خبيثة. تستغل هذه تقنية التسليم الجديدة الهندسة الاجتماعية من خلا…
rss:Dark Reading
—
03:34 KSA
مايكروسوفت تصدر تصحيح شيرpoint طارئ
أصدرت مايكروسوفت تصحيح أمان طارئ لـ SharePoint لمعالجة ثغرة حرجة قد تمنح المهاجمين إمكانية الوصول الإداري إلى أنظمة المؤسسة. تجعل الدور المركزي لـ SharePoint في البنية التحتية للمؤسسات هذه الثغرة خطيرة بشكل خاص.
rss:Dark Reading
—
03:34 KSA
جنون التغذية: برنامج 'ميجالودون' الضار يصيب آلاف مستودعات جيتهاب
حملة برامج ضارة تُعرف باسم 'ميجالودون' اخترقت أكثر من 5,500 مستودع على جيتهاب في غضون ست ساعات من خلال حقن التزامات خبيثة. استهدفت الحملة بيانات اعتماد المطورين والأسرار، مما يشكل مخاطر ك…
rss:BleepingComputer
—
03:34 KSA
استغلال ثغرة KnowledgeDeliver كثغرة يوم الصفر لتثبيت أصداف الويب
استغل المهاجمون ثغرة حرجة من نوع يوم الصفر في نظام إدارة التعلم KnowledgeDeliver لنشر قذيفة الويب Godzilla، مما يمكنهم من الوصول والتحكم غير المصرح به بالخادم. تشكل هذه الثغرة خطراً كبيراً على المؤ…
📰 أخبار الأمن السيبراني
0 مقال
لا توجد أخبار مجمّعة اليوم حتى الآن
يتم تحديث هذه النشرة تلقائياً يومياً — آخر تحديث: 27 May 2026
أرشيف الثغرات ·
التهديدات ·
الأخبار