200
ثغرة
45
تهديد
1
خبر
3
حرجة
3
CISA KEV
🛡 الثغرات الأمنية (CVE)
CVE-2026-45321
TanStack TanStack — CVE-2026-45321
TanStack contains an unspecified vulnerability that allowed malicious versions of the
05:16 KSA
TanStack TanStack — CVE-2026-45321
TanStack contains an unspecified vulnerability that allowed malicious versions of the product to be published to the npm registry to publish credential-stealing malware under a trusted identity.
Required Action: Apply mitigations per vendor ins…
يحتوي Nx Console على ثغرة تتعلق بكود خبيث مضمن يمكنه جلب حمولة مشفرة لسرقة بيانات الاعتماد من مصادر متعددة على القرص والذاكرة. تم نشر نسخة مخترقة من الامتداد مما يشكل خطراً على جميع المستخدمين. يتطلب الأمر اتخاذ إجراء فوري لتطبيق التخفيفات أو إيقاف الاستخدام.
CVE-2026-8398
Daemon Daemon Tools Lite — CVE-2026-8398
Daemon Tools contains an unspecified vulnerability that has a high impact on co
05:16 KSA
Daemon Daemon Tools Lite — CVE-2026-8398
Daemon Tools contains an unspecified vulnerability that has a high impact on confidentiality, integrity, and availability.
Required Action: Apply mitigations per vendor instructions, follow applicable BOD 22-01 guidance for cloud services…
تتعلق هذه الثغرة بمكتبة معالجة PDF في Google Chrome حيث يتم الوصول إلى ذاكرة تم تحريرها بالفعل. يمكن لمهاجم بعيد استغلال هذا الخلل من خلال إرسال ملف PDF معد بشكل خاص يؤدي إلى تلف الذاكرة وتنفيذ كود عشوائي.
يتعلق الثغرة بتجاوز عدد صحيح في مكتبة ANGLE المسؤولة عن معالجة الرسومات في متصفح Google Chrome. يمكن للمهاجمين استغلال هذه الثغرة لتسرب البيانات من مواقع ويب مختلفة دون تصريح من المستخدم. الثغرة تؤثر على جميع إصدارات Chrome السابقة للإصدار 148.0.7778.216.
تحتوي نقاط نهاية إدارة ملحقات Docker في Portainer على ثغرة تجاوز تفويض تسمح للمستخدمين العاديين بتثبيت وتفعيل ملحقات Docker مباشرة. تؤثر الثغرة على المستخدمين الذين لديهم وصول على مستوى نقطة النهاية عبر نظام التحكم في الوصول القائم على الأدوار في Portainer.
CVE-2026-44849
تجاوز إعدادات أمان نقطة النهاية في واجهة برمجة تطبيقات Docker Swarm في Portainer
21:01 KSA
يؤثر هذا الثغرة على Portainer Community Edition حيث لا يتم تطبيق قيود الأمان المكونة من قبل المسؤولين على مسار إنشاء خدمة Docker Swarm. يمكن للمستخدمين غير المسؤولين تجاوز السياسات الأمنية وإنشاء حاويات بامتيازات محظورة مثل الوضع المميز ورسم خرائط الأجهزة والقدرات الخطرة.
تحتوي إضافة Frontend Admin على ثغرة في معالجة النماذج تسمح للمهاجمين بتجاوز التحقق من قاعدة البيانات. يمكن للمهاجمين إرسال تعريفات نماذج مزيفة تتضمن أدوار المسؤول في خيارات الأدوار. هذا يسمح بإنشاء حسابات مسؤول بدون مصادقة.
CVE-2026-7802
ثغرة تجاوز التفويض في إضافة Frontend Admin لـ WordPress - الاستيلاء على حسابات المسؤول
03:16 KSA
ثغرة تجاوز التفويض في إضافة Frontend Admin تسمح للمستخدمين المصرح لهم على مستوى المشترك بتعديل حقول ملف تعريف المسؤول بما في ذلك كلمة المرور والبريد الإلكتروني. يحدث هذا عندما لا يتم تكوين قائمة الأدوار المسموحة، مما يمكّن المهاجمين من الاستيلاء الكامل على حسابات المسؤول.
CVE-2026-8697
绕过تحديد معدل المصادقة SSH في Archer C64 v1 يمكن من هجوم القوة الغاشمة على بيانات الاعتماد
03:18 KSA
يحتوي Archer C64 v1 على خدمة SSH للتصحيح بدون تحديد معدل مصادقة مناسب، مما يسمح بمحاولات دخول غير محدودة. تستخدم هذه الخدمة نفس بيانات اعتماد واجهة الويب الإدارية، مما يمكن المهاجمين من الوصول الكامل للجهاز عند نجاح الهجوم.
CVE-2026-9426
A vulnerability was detected in Edimax EW-7438RPn 1.31. This affects the function formHwSet of the file /goform/formHwSe
18:38 KSA
A vulnerability was detected in Edimax EW-7438RPn 1.31. This affects the function formHwSet of the file /goform/formHwSet. The manipulation of the argument Anntena/Mcs/regDomain/nic0Addr/nic1Addr/wlanAddr/wanAddr/wlanSSID/wlanChan/initgain/txcck/txofdm/submit-url results in stack…
CVE-2026-9459
A security flaw has been discovered in Edimax EW-7438RPn 1.31. This affects the function formConnectionSetting of the fi
21:40 KSA
A security flaw has been discovered in Edimax EW-7438RPn 1.31. This affects the function formConnectionSetting of the file /goform/formConnectionSetting. Performing a manipulation of the argument max_Conn/timeOut results in stack-based buffer overflow. It is possible to initiate …
CVE-2026-9460
A weakness has been identified in Edimax EW-7438RPn 1.31. This impacts the function formAccept of the file /goform/formA
21:40 KSA
A weakness has been identified in Edimax EW-7438RPn 1.31. This impacts the function formAccept of the file /goform/formAccept. Executing a manipulation of the argument submit-url can lead to stack-based buffer overflow. It is possible to launch the attack remotely. The exploit ha…
CVE-2026-9461
A security vulnerability has been detected in Edimax EW-7438RPn 1.31. Affected is the function formRadius of the file /g
21:40 KSA
A security vulnerability has been detected in Edimax EW-7438RPn 1.31. Affected is the function formRadius of the file /goform/formRadius. The manipulation of the argument submit-url leads to stack-based buffer overflow. The attack can be initiated remotely. The exploit has been d…
تؤثر هذه الثغرة على وظيفة formL2TPSetup في ملف /goform/formL2TPSetup حيث يؤدي التلاعب بمعامل L2TPUserName إلى تجاوز المخزن المؤقت. يمكن استغلال الثغرة عن بعد دون الحاجة إلى بيانات اعتماد المصادقة.
CVE-2026-9442
A weakness has been identified in Edimax BR-6478AC 1.23. This affects the function formiNICSiteSurvey of the file /gofor
21:40 KSA
A weakness has been identified in Edimax BR-6478AC 1.23. This affects the function formiNICSiteSurvey of the file /goform/formiNICSiteSurvey of the component POST Request Handler. Executing a manipulation of the argument selSSID can lead to buffer overflow. The attack can be laun…
CVE-2026-9431
A vulnerability was identified in Tenda F1202 1.2.0.20(408). This affects the function fromPptpUserAdd of the file /gofo
21:40 KSA
A vulnerability was identified in Tenda F1202 1.2.0.20(408). This affects the function fromPptpUserAdd of the file /goform/PptpUserAdd. The manipulation of the argument opttype leads to stack-based buffer overflow. The attack can be initiated remotely. The exploit is publicly ava…
CVE-2026-9430
A vulnerability was determined in Tenda F1202 1.2.0.20(408). Affected by this issue is the function formGstDhcpSetSer of
21:40 KSA
A vulnerability was determined in Tenda F1202 1.2.0.20(408). Affected by this issue is the function formGstDhcpSetSer of the file /goform/GstDhcpSetSerof. Executing a manipulation of the argument dips can lead to stack-based buffer overflow. It is possible to launch the attack re…
CVE-2026-9429
A vulnerability was found in Tenda F1202 1.2.0.20(408). Affected by this vulnerability is the function formWrlExtraSet o
21:40 KSA
A vulnerability was found in Tenda F1202 1.2.0.20(408). Affected by this vulnerability is the function formWrlExtraSet of the file /goform/WrlExtraSet. Performing a manipulation of the argument delno results in stack-based buffer overflow. It is possible to initiate the attack re…
CVE-2026-9428
A vulnerability has been found in Tenda F1202 1.2.0.20(408). Affected is the function fromPPTPUserSetting of the file /g
21:40 KSA
A vulnerability has been found in Tenda F1202 1.2.0.20(408). Affected is the function fromPPTPUserSetting of the file /goform/PPTPUserSetting. Such manipulation of the argument delno leads to stack-based buffer overflow. The attack may be performed from remote. The exploit has be…
CVE-2026-9427
A flaw has been found in Edimax EW-7438RPn 1.31. This impacts the function formWlSiteSurvey of the file /goform/formWlSi
18:38 KSA
A flaw has been found in Edimax EW-7438RPn 1.31. This impacts the function formWlSiteSurvey of the file /goform/formWlSiteSurvey of the component webs. This manipulation of the argument selSSID/submit-url causes stack-based buffer overflow. The attack is possible to be carried ou…
ثغرة تجاوز المخزن المؤقت القائم على المكدس في جهاز التوجيه اللاسلكي Edimax EW-7438RPn تسمح بتنفيذ كود بعيد من خلال معالجة غير آمنة لمعاملات إعدادات الشبكة اللاسلكية. تم الكشف عن الثغرة علنًا مع عدم استجابة البائع، مما يزيد من احتمالية الاستغلال الفعلي.
يستخدم الملحق دالة strpos() للتحقق من وجود '.json' في اسم الملف بدلاً من التحقق من أن الملف ينتهي بامتداد .json. هذا يسمح بتحميل ملفات بأسماء مثل shell.json.php التي تحتوي على الكود القابل للتنفيذ. المستخدمون المصرح لهم برفع الملفات يمكنهم استغلال هذه الثغرة لتنفيذ أوامر عشوائية …
CVE-2026-9009
ثغرة تنفيذ الأوامر البعيدة في إضافة Crawlomatic عبر سمات Shortcode غير المعقمة
09:36 KSA
تحتوي إضافة Crawlomatic Multipage Scraper Post Generator لـ WordPress على ثغرة تنفيذ أوامر بعيدة في دالة filter_content حيث يتم تمرير سمات shortcode المزودة من قبل المهاجم مباشرة إلى call_user_func() دون تعقيم أو التحقق من القائمة البيضاء. يعتمد الفحص فقط على is_callable() الذي ي…
تتعلق هذه الثغرة بمكون الوكيل في Google Chrome حيث يمكن لمهاجم بعيد استغلال ثغرة استخدام بعد التحرير (use-after-free) من خلال نص PAC مصمم بعناية. يمكن لهذا الاستغلال أن يؤدي إلى تنفيذ أكواد عشوائية بامتيازات المستخدم المتأثر.
تحتوي ثغرة CVE-2026-9940 على عيب في معالجة الذاكرة في مكتبة ANGLE المسؤولة عن معالجة الرسومات في متصفح جوجل كروم. يمكن للمهاجمين استغلال هذا العيب من خلال صفحات HTML مصممة بعناية لتنفيذ أكواد ضارة وتحقيق تنفيذ الأوامر البعيد.
CVE-2026-47759
TinyMCE is an open source rich text editor. Prior to 5.11.1, 7.9.3, and 8.5.1, there is a stored XSS vulnerability via u
11:23 KSA
TinyMCE is an open source rich text editor. Prior to 5.11.1, 7.9.3, and 8.5.1, there is a stored XSS vulnerability via unsanitized data-mce-* attributes (data-mce-href, data-mce-src, data-mce-style). Allows attackers to inject malicious values that override safe attributes during…
CVE-2026-47760
TinyMCE is an open source rich text editor. From 6.8.0 to before 7.1.0, TinyMCE contains an XSS vulnerability caused by
11:23 KSA
TinyMCE is an open source rich text editor. From 6.8.0 to before 7.1.0, TinyMCE contains an XSS vulnerability caused by improper SVG namespace scope handling in the sanitizer. A crafted payload using nested elements can bypass attribute sanitization and execute arbitrary JavaScri…
CVE-2026-47761
TinyMCE is an open source rich text editor. Prior to 5.11.1, 7.9.3, and 8.5.1, there is a stored XSS vulnerability in th
11:23 KSA
TinyMCE is an open source rich text editor. Prior to 5.11.1, 7.9.3, and 8.5.1, there is a stored XSS vulnerability in the media plugin. Attackers can inject malicious scripts via crafted data-mce-* attributes, which are executed when content is rendered. Impacts users of TinyMCE …
CVE-2026-47762
TinyMCE is an open source rich text editor. Prior to 5.11.1, 7.9.3, and 8.5.1, there is a stored XSS vulnerability via f
11:23 KSA
TinyMCE is an open source rich text editor. Prior to 5.11.1, 7.9.3, and 8.5.1, there is a stored XSS vulnerability via forged mce:protected comments. Allows attackers to bypass sanitization and inject scripts that execute when content is restored. Impacts users who utilize the pr…
يسمح هذا الضعف للمهاجمين بتجاوز نظام الأذونات في محرر Zed من خلال إضافة متغيرات بيئية مثل PAGER قبل الأوامر المسموحة. يمكن استخدام هذه التقنية لتنفيذ أكواد عشوائية وتحقيق تنفيذ أوامر غير مصرح به. الإصلاح متوفر في الإصدار 0.229.0 وما بعده.
ثغرة في مكون الوحدات المشتركة بـ Oracle E-Business Suite تؤثر على إصدارات Financials من 12.2.3 إلى 12.2.15. يمكن لمهاجم بامتيازات منخفضة استغلال هذه الثغرة عبر الشبكة للوصول غير المصرح به إلى البيانات المالية الحساسة وتعديلها. التأثير يمتد إلى الأنظمة الأخرى المتصلة بـ Oracle EBS…
CVE-2018-25359
Splinterware System Scheduler Pro 5.12 contains an insecure file permissions vulnerability that allows low-privilege use
00:48 KSA
Splinterware System Scheduler Pro 5.12 contains an insecure file permissions vulnerability that allows low-privilege users to escalate privileges by modifying service executable files. Attackers can rename the WService.exe file in the installation directory and replace it with a …
CVE-2018-25360
AgataSoft Auto PingMaster 1.5 contains a stack-based buffer overflow vulnerability in the Trace Route host name field th
00:48 KSA
AgataSoft Auto PingMaster 1.5 contains a stack-based buffer overflow vulnerability in the Trace Route host name field that allows local attackers to execute arbitrary code by triggering structured exception handling. Attackers can craft a malicious ping.txt file with shellcode an…
CVE-2018-25366
CuteFTP 5.0 XP contains a buffer overflow vulnerability that allows local attackers to execute arbitrary code by injecti
00:48 KSA
CuteFTP 5.0 XP contains a buffer overflow vulnerability that allows local attackers to execute arbitrary code by injecting malicious payload into the Site Manager label field. Attackers can craft a payload exceeding 520 bytes that overwrites the return address and executes shellc…
CVE-2018-25373
SocuSoft DVD Photo Slideshow Professional 8.07 contains a stack-based buffer overflow vulnerability in the registration
00:48 KSA
SocuSoft DVD Photo Slideshow Professional 8.07 contains a stack-based buffer overflow vulnerability in the registration name field that allows local attackers to execute arbitrary code by exploiting structured exception handling. Attackers can craft a malicious text file with car…
ثغرة استخدام بعد التحرير (Use-After-Free) في مكتبة Skia للرسومات بـ Google Chrome تسمح بهروب الحماية الرملية عند اختراق عملية العرض. يتطلب المهاجم أولاً اختراق عملية العرض من خلال صفحة HTML مصنوعة بعناية قبل استغلال الثغرة للوصول الكامل للنظام.
تتعلق هذه الثغرة بمكتبة ANGLE المستخدمة لمعالجة الرسومات في متصفح جوجل كروم. يمكن للمهاجم الذي يتحكم بعملية العرض استغلال خلل في إدارة الذاكرة للهروب من بيئة الحماية والوصول إلى موارد النظام. تتطلب الاستغلال وجود صفحة HTML مصممة بعناية وتوفر وصول أولي إلى عملية العرض.
CVE-2026-9946
ثغرة استخدام بعد التحرير في مكتبة ANGLE بمتصفح كروم للهروب من الحماية الرملية
03:16 KSA
ثغرة استخدام بعد التحرير في مكتبة ANGLE بمتصفح جوجل كروم تسمح بالهروب من الحماية الرملية. تتطلب الثغرة أن يكون المهاجم قد اخترق عملية العرض مسبقاً من خلال صفحة HTML مصنوعة بعناية. يمكن للمهاجم الوصول إلى موارد النظام الكاملة عند نجاح الاستغلال.
CVE-2018-25362
Twitter-Clone 1 contains a SQL injection vulnerability in follow.php that allows attackers to manipulate database querie
00:48 KSA
Twitter-Clone 1 contains a SQL injection vulnerability in follow.php that allows attackers to manipulate database queries by injecting SQL code through the userid parameter. Attackers can submit union-based or time-based blind SQL injection payloads to extract sensitive database …
CVE-2018-25364
Twitter-Clone 1 contains a SQL injection vulnerability that allows unauthenticated attackers to execute arbitrary SQL qu
00:48 KSA
Twitter-Clone 1 contains a SQL injection vulnerability that allows unauthenticated attackers to execute arbitrary SQL queries by injecting malicious code through the name parameter. Attackers can submit crafted payloads to the search.php endpoint to extract database information i…
CVE-2018-25371
mooSocial Store Plugin 2.6 contains a blind SQL injection vulnerability that allows unauthenticated attackers to manipul
00:48 KSA
mooSocial Store Plugin 2.6 contains a blind SQL injection vulnerability that allows unauthenticated attackers to manipulate database queries through the product parameter in URL rewrite functionality. Attackers can inject SQL code using boolean-based blind, time-based blind, or s…
CVE-2018-25372
MedDream PACS Server Premium 6.7.1.1 contains an SQL injection vulnerability that allows unauthenticated attackers to ex
00:48 KSA
MedDream PACS Server Premium 6.7.1.1 contains an SQL injection vulnerability that allows unauthenticated attackers to execute arbitrary SQL queries by injecting malicious code through the email parameter. Attackers can submit crafted POST requests to the userSignup.php endpoint w…
تحتوي إضافة WP Contact Form 7 DB Handler على ثغرة CSRF مدمجة مع حقن SQL وإلغاء تسلسل كائنات PHP غير آمن. يمكن للمهاجم إنشاء صفحة CSRF تخدع مسؤول WordPress المسجل الدخول لحذف ملفات عشوائية من الخادم. الثغرة تنتج عن عدم التحقق من nonce بشكل صحيح واستخدام مدخلات المستخدم غير المعقمة…
ثغرة حقن الأكواد في عميل electerm الطرفي تؤثر على الإصدارات من 3.0.6 إلى 3.8.8 وتسمح بتنفيذ أكواد بعيدة من قبل المهاجمين. تم إصلاح الثغرة في الإصدار 3.9.0. هذه الثغرة تشكل خطراً كبيراً على الأنظمة التي تعتمد على هذا العميل للوصول البعيد.
تم اكتشاف ثغرة اجتياز مسار في مكون virt-exportserver في KubeVirt تسمح للمهاجمين الذين لديهم وصول على مستوى Namespace باستغلال الروابط الرمزية للوصول إلى ملفات عشوائية. يمكن لهذه الثغرة أن تؤدي إلى الكشف عن البيانات الحساسة من نظام ملفات pod المُصدِّر.
يؤثر هذا الضعف على تطبيق Nord VPN الإصدار 6.14.31 حيث يفتقر إلى التحقق الكافي من طول إدخال كلمة المرور. يمكن لأي مهاجم بدون مصادقة إرسال سلسلة نصية طويلة جداً لتعطيل التطبيق وإيقاف خدمة VPN عن العمل.
تؤثر هذه الثغرة على خوادم PACS الطبية المستخدمة في المستشفيات والعيادات السعودية. يمكن للمهاجمين الوصول إلى بيانات المرضى الحساسة وملفات الإعدادات الحرجة دون مصادقة. تشكل هذه الثغرة خطراً كبيراً على سرية البيانات الطبية والامتثال للوائح حماية البيانات.
تحتوي ثغرة اجتياز المسار في DeepCode على نقطة ضعف في نقطة نهاية GET /{full_path:path} حيث يمكن للمهاجمين استخدام الترميز بنسبة مئوية (%2F للشرطة المائلة و%2E%2E للنقاط) لتجاوز آليات تطبيع Starlette. يؤدي هذا إلى الوصول غير المصرح إلى ملفات حساسة خارج دليل FRONTEND_DIST بما في ذلك…
تحتوي أجهزة TP-Link Tapo على ثغرة أمان حيث يتم نقل بيانات الإعداد عبر Bluetooth بدون تشفير. يمكن لمهاجم قريب من الجهاز اعتراض هذه البيانات والتلاعب بها للحصول على تحكم غير مصرح به. تقتصر الثغرة على مرحلة الإعداد الأولي فقط.
تحتوي إصدارات Lakeside SysTrack Agent السابقة على ثغرة قراءة خارج الحدود (CWE-125) في معالج حزم UDP للأمر ID 30. يمكن للمهاجمين البعيدين إرسال حزم UDP مشوهة بعنوان ذاكرة غير صحيح عند الإزاحة 0x4 لتشغيل انتهاك الوصول وإيقاف التطبيق.
يقبل Portainer Community Edition رموز JWT عبر معاملات URL الاستعلام (?token=) بالإضافة إلى رأس Authorization القياسي. يتم تسجيل عناوين URL في سجلات الوصول لخادم الوكيل العكسي والسجل والرؤوس HTTP Referer، مما يسمح بحصاد الرموز من قبل أي شخص لديه إمكانية الوصول إلى هذه السجلات. الر…
يحتوي Python Liquid على ثغرة اجتياز مسار في فئات FileSystemLoader و CachingFileSystemLoader تسمح بقراءة الملفات خارج مسارات البحث المحددة عند توفير مسار مطلق. يمكن للمهاجمين استخدام علامات {% include %} و {% render %} لتحميل وعرض ملفات عشوائية على النظام، مما يؤدي إلى كشف البيانا…
CVE-2026-48116
ثغرة حقن الأوامر في AnythingLLM عبر حقن خيارات ripgrep في البحث في نظام الملفات
21:01 KSA
تحتوي AnythingLLM على ثغرة حقن أوامر في مهارة البحث في نظام الملفات حيث يتم تمرير معاملات يتحكم بها نموذج اللغة إلى ripgrep دون فاصل نهاية الخيارات. يمكن لمهاجم لديه إمكانية الوصول إلى وكيل الدردشة استخدام هذه الثغرة مع مهارة كتابة الملفات لتنفيذ أوامر تعسفية داخل حاوية الخادم.
تحتوي إضافة Simply Schedule Appointments للـ WordPress على ثغرة حقن SQL العمياء المستندة إلى الوقت في معامل 'append_where_sql' الذي يمكن الوصول إليه عبر نقطة نهاية REST /appointments/bulk. يمكن للمهاجمين غير المصرح لهم استغلال هذه الثغرة باستخدام nonce عام مرئي في كود JavaScript …
تؤثر هذه الثغرة على مكون نقل الملفات في وحدة المدفوعات بنظام أوراكل للتطبيقات التجارية. يمكن لمهاجم غير مصرح الوصول إلى النظام عبر الشبكة باستخدام بروتوكول HTTPS والتسبب في تسرب البيانات الحساسة أو تعديلها. تؤثر الثغرة على سرية وتكامل البيانات دون التأثير على التوفر.
تحتوي ثغرة CVE-2026-9452 على ضعف في معالجة المدخلات في وظيفة ExecTool.execute بملف /src/tools/exec.ts مما يسمح بحقن أوامر نظام التشغيل. يمكن للمهاجمين البعيدين استغلال هذه الثغرة لتنفيذ أوامر تعسفية على النظام المتأثر. تم الكشف عن هذه الثغرة علنًا ولم يستجب المطورون للإبلاغ عنها …
CVE-2026-9795
A flaw was found in Keycloak's Fine-Grained Admin Permissions (FGAPv2) feature. An administrator with limited client man
04:17 KSA
A flaw was found in Keycloak's Fine-Grained Admin Permissions (FGAPv2) feature. An administrator with limited client management permissions can exploit this vulnerability to assign any realm role, including highly privileged roles, to a client's scope mapping. This bypasses inten…
تم اكتشاف ثغرة حقن أوامر في مكون SkillsLoader بملف /src/application/skills-loader.ts في FoundDream miniclawd. يمكن للمهاجمين استغلال هذه الثغرة عن بعد من خلال معالجة معامل requires.bins لتنفيذ أوامر تعسفية. الثغرة متاحة للاستغلال العام ولم يستجب المطورون بعد.
ثغرة حقن SQL في ملف /user/search.php بنظام SourceCodester Simple POS and Inventory System 1.0 تسمح للمهاجمين بمعالجة معاملات قاعدة البيانات من خلال معامل Name. يمكن استغلال هذه الثغرة عن بعد دون الحاجة إلى مصادقة، مما يعرض بيانات النظام والعملاء للخطر.
تؤثر هذه الثغرة على مكون معالج الملفات في KLiK SocialMediaWebsite 1.0 حيث تسمح بتجاوز آليات التحقق من الملفات المرفوعة. يمكن للمهاجمين رفع ملفات خطيرة بما في ذلك الأصداف العكسية والبرامج الضارة مما قد يؤدي إلى السيطرة الكاملة على الخادم.
تؤثر هذه الثغرة على معالج معاملات طلبات HTTP POST في KLiK SocialMediaWebsite الإصدار 1.0. يمكن للمهاجمين استغلال هذا الضعف عن بعد لحقن أكواد ضارة من خلال معاملات POST. توفر الاستكشافات المتاحة للجمهور خطراً فوري على المنظمات التي تستخدم هذا النظام.
تحتوي إضافة Login No Captcha reCAPTCHA للإصدارات حتى 1.8.0 على ثغرة XSS مخزنة في دالة authenticate() التي تفشل في تنظيف متغير $_SERVER['PHP_SELF']. يمكن للمهاجمين غير المصرحين حقن نصوص برمجية ضارة تُنفذ في لوحة التحكم عند زيارة المسؤولين خلال 30 ثانية من الهجوم.
تحتوي إضافة HT Contact Form للووردبريس على ثغرة XSS مخزنة في معامل تحميل الملفات تسمح بحقن برامج نصية عشوائية. الثغرة تؤثر على جميع الإصدارات حتى 2.8.2 وتتطلب تفعيل إعداد حفظ الطلبات لاستغلالها. يمكن للمهاجمين غير المصرح لهم تنفيذ برامج نصية ضارة عند وصول المستخدمين إلى الصفحات ا…
تحتوي إضافة SlimStat Analytics لـ WordPress على ثغرة Stored XSS في معالجة رأس User-Agent تسمح للمهاجمين غير المصرح لهم بحقن نصوص برمجية ضارة. تتطلب الثغرة تفعيل إعداد show_complete_user_agent_tooltip من قبل المسؤول لتنفيذ الحمولة المخزنة. يمكن للمهاجمين استخدام هذه الثغرة لسرقة ب…
CVE-2026-44604
ثغرة حقن الأوامر في أداة RPM rpmuncompress عبر أسماء مجلدات الأرشيف غير المعقمة
09:36 KSA
ثغرة حقن الأوامر في أداة rpmuncompress في RPM تسمح بتنفيذ أوامر عشوائية عند استخراج أرشيفات ZIP و7z و GEM. يمكن للمهاجمين إنشاء أرشيفات ضارة تحتوي على أحرف shell في أسماء المجلدات لتنفيذ أوامر بصلاحيات المستخدم الذي يقوم بالاستخراج.
CVE-2026-9802
إعادة تشغيل رمز التحديث في Keycloak بعد إعادة تشغيل الخادم مع الجلسات الدائمة
11:23 KSA
تؤثر هذه الثغرة على Keycloak عند تفعيل خيار revokeRefreshToken مع استخدام تخزين الجلسات الدائم. عند إعادة تشغيل الخادم، تُعاد تعيين آليات التوقيت الداخلية مما يسمح بإعادة تشغيل الرموز الملغاة. يمكن للمهاجمين الذين يمتلكون رموز محفوظة مسبقاً استخدامها للوصول غير المصرح به.
يوجد خلل في مكون org.keycloak.protocol.oidc حيث يتم تجاوز منفذ reject-ropc-grant بصمت عند استخدام موفري شروط معينة مثل client-type و client-roles و client-attributes و client-scopes. يسمح هذا الخلل لمهاجم غير مصرح بالحصول على رموز عبر منح بيانات اعتماد مالك المورد حتى عندما يتم ت…
CVE-2026-9882
Integer overflow in ANGLE in Google Chrome prior to 148.0.7778.216 allowed a remote attacker to leak cross-origin data v
13:16 KSA
Integer overflow in ANGLE in Google Chrome prior to 148.0.7778.216 allowed a remote attacker to leak cross-origin data via a crafted HTML page. (Chromium security severity: Critical)
CVE-2026-9796
تصعيد امتيازات TOCTOU في Keycloak عبر فحوصات الأدوار الإدارية المستندة إلى الأسماء
11:23 KSA
تم اكتشاف ثغرة في Keycloak تسمح لمسؤول مصرح بدور manage-clients باستغلال ضعف TOCTOU في فحوصات الأدوار الإدارية المستندة إلى الأسماء. يمكن للمهاجم تصعيد امتيازاته إلى realm-admin لجميع المستخدمين في المجال، مما يمنحه سيطرة واسعة على النظام. تستمر علاقة الدور المركب حتى بعد إلغاء أ…
ثغرة اجتياز المسار النسبي في واجهة REST API لـ Apache Ignite تسمح للمستخدمين المصرحين بقراءة ملفات عشوائية على الخادم من خلال استخدام أمر 'cmd=log' مع مسارات سجل مصممة بشكل خاص. تؤثر هذه الثغرة على جميع الإصدارات من 2.0.0 إلى 2.17.0 وتشكل خطراً على سرية البيانات المخزنة على الخاد…
CVE-2026-10004
ثغرة انتحال واجهة المستخدم في جوجل كروم عبر تجاوز التحقق من صحة حقول كلمات المرور
11:23 KSA
تتعلق هذه الثغرة بعدم التحقق الكافي من صحة المدخلات غير الموثوقة في حقول كلمات المرور في متصفح جوجل كروم. يمكن للمهاجمين البعيدين استخدام صفحات HTML مصممة بعناية لانتحال واجهة المستخدم وخداع المستخدمين.
CVE-2026-10018
Integer overflow in ANGLE in Google Chrome prior to 148.0.7778.216 allowed a remote attacker to obtain potentially sensi
13:16 KSA
Integer overflow in ANGLE in Google Chrome prior to 148.0.7778.216 allowed a remote attacker to obtain potentially sensitive information from process memory via a crafted HTML page. (Chromium security severity: Medium)
ثغرة IDOR في إضافة Meta Field Block للـ WordPress تسمح للمستخدمين المصرحين بالوصول إلى البيانات الوصفية التعسفية من أي كائن في قاعدة البيانات دون التحقق من الأذونات. يمكن للمهاجمين الذين لديهم وصول على مستوى المساهم أو أعلى الوصول إلى معلومات حساسة مثل بيانات الفواتير والشحن من ا…
CVE-2026-3279
The Enable jQuery Migrate Helper plugin for WordPress is vulnerable to unauthorized modification of data due to a missin
00:32 KSA
The Enable jQuery Migrate Helper plugin for WordPress is vulnerable to unauthorized modification of data due to a missing capability check on the `downgrade_jquery_version()` function in all versions up to, and including, 1.4.1. This is due to the function only verifying a nonce …
CVE-2026-43827
Default configurations of Apache Shiro have a session fixation vulnerability.
This issue affects Apache Shiro from 1.0
19:54 KSA
Default configurations of Apache Shiro have a session fixation vulnerability.
This issue affects Apache Shiro from 1.0 to 2.1.0, and 3.0.0-alpha-1.
Users are recommended to upgrade to version 2.1.1, or 3.0.0-alpha-2 or later, which fixes the issue.
In the affected versions, wh…
CVE-2026-43828
Default configurations of Apache Shiro send sensitive cookies in HTTPS session without 'Secure' attribute.
This issue
19:54 KSA
Default configurations of Apache Shiro send sensitive cookies in HTTPS session without 'Secure' attribute.
This issue affects Apache Shiro from 1.0 to 2.1.0, and 3.0.0-alpha-1.
Users are recommended to upgrade to version 2.1.1, or 3.0.0-alpha-2 or later, which fixes the issue…
CVE-2026-5737
ثغرة SSRF في إضافة Independent Analytics لـ WordPress عبر التحقق الضعيف من التوقيع
11:23 KSA
ثغرة SSRF في إضافة Independent Analytics للـ WordPress تسمح للمهاجمين غير المصرح لهم بحقن نطاقات ضارة في قاعدة البيانات عبر مسار التتبع العام /wp-json/iawp/search. يستخدم المهاجمون توقيعات مستخرجة من JavaScript العام والملح الثابت لتجاوز التحقق الضعيف وتشغيل طلبات cURL غير المقيد…
يؤثر هذا الضعف على جميع إصدارات مكون Photo Gallery by 10Web حتى الإصدار 1.8.40 ويسمح بحقن استعلامات SQL إضافية عبر معامل 'order_by' غير المحمي بشكل كافٍ. يمكن للمهاجمين الذين لديهم وصول على مستوى المساهم استخدام رموز مختصرة ضارة لتنفيذ استعلامات SQL عند عرض الصفحة.
CVE-2026-2030
The WPBakery Page Builder Addons by Livemesh plugin for WordPress is vulnerable to Stored Cross-Site Scripting via the `
00:32 KSA
The WPBakery Page Builder Addons by Livemesh plugin for WordPress is vulnerable to Stored Cross-Site Scripting via the `[lvca_carousel]` and `[lvca_posts_carousel]` shortcode attributes in all versions up to, and including, 3.9.4 due to insufficient input sanitization and output …
ثغرة Stored Cross-Site Scripting في إضافة WPBakery Page Builder Addons تسمح للمستخدمين المصرحين بمستوى المشترك وأعلى بحقن نصوص برمجية ضارة عبر معالج AJAX. تحدث الثغرة بسبب عدم التحقق من صلاحيات المستخدم وعدم كفاية تنظيف المدخلات، مما يؤدي إلى تنفيذ الكود الضار عند وصول المسؤولين …
تحتوي إضافة Livemesh SiteOrigin Widgets للإصدارات حتى 3.9.2 على ثغرة Stored XSS في معالج AJAX lsow_admin_ajax حيث يتحقق من nonce لكن لا يفحص صلاحيات المستخدم. يمكن للمستخدمين المصرحين برتبة Subscriber وما فوق تعديل إعدادات الإضافة وحقن نصوص برمجية ضارة تُنفذ عند وصول المسؤولين لص…
تحتوي إضافة Livemesh Addons for Beaver Builder على ثغرة Stored XSS في معالج AJAX `labb_admin_ajax` بسبب عدم التحقق من صلاحيات المستخدم رغم التحقق من nonce. يمكن للمهاجمين المصرحين بصلاحيات المشترك تعديل إعدادات الإضافة وحقن برامج نصية ضارة تُنفذ عند وصول المسؤولين لصفحة الإعدادات…
تحتوي إضافة Shariff Wrapper للووردبريس على ثغرة Stored XSS في معامل 'headline' بسبب عدم كفاية تنظيف المدخلات والهروب من المخرجات. يمكن للمستخدمين المصرحين على مستوى المساهم أو أعلى حقن نصوص برمجية ضارة تُنفذ عند وصول المستخدمين للصفحات المصابة.
تحتوي إضافة a3 Lazy Load على خلل في التعبير النمطي في دالة _filter_videos() يسمح بكسر علامات HTML عند معالجة عناصر الفيديو المصنعة. يمكن لمهاجم مصرح له بصلاحيات المساهم إدراج علامة فيديو تحتوي على سمات معالجات أحداث ضارة تنفذ عند عرض المنشور. ينتج عن هذا تنفيذ كود JavaScript عشوا…
CVE-2026-8837
The WP Iframe Geo Style for Amazon affiliates plugin for WordPress is vulnerable to Stored Cross-Site Scripting via 'adi
12:18 KSA
The WP Iframe Geo Style for Amazon affiliates plugin for WordPress is vulnerable to Stored Cross-Site Scripting via 'adid' Shortcode Attribute in all versions up to, and including, 1.1 due to insufficient input sanitization and output escaping. This makes it possible for authenti…
CVE-2026-8842
The Google+ Link Name plugin for WordPress is vulnerable to Stored Cross-Site Scripting via the 'gplusnamelink' shortcod
12:18 KSA
The Google+ Link Name plugin for WordPress is vulnerable to Stored Cross-Site Scripting via the 'gplusnamelink' shortcode in versions up to, and including, 1.0. This is due to insufficient input sanitization and output escaping on user supplied attributes ('id' and 'name') in the…
CVE-2026-8844
The Responsive Check plugin for WordPress is vulnerable to Stored Cross-Site Scripting via the 'rspcheck' shortcode in v
12:18 KSA
The Responsive Check plugin for WordPress is vulnerable to Stored Cross-Site Scripting via the 'rspcheck' shortcode in versions up to, and including, 0.0.3. This is due to insufficient input sanitization and output escaping on the 'url' (and 'button') shortcode attributes in the …
CVE-2026-8845
The Islamic Database plugin for WordPress is vulnerable to Stored Cross-Site Scripting via the 'islamicDB-roqya' shortco
12:18 KSA
The Islamic Database plugin for WordPress is vulnerable to Stored Cross-Site Scripting via the 'islamicDB-roqya' shortcode in versions up to, and including, 1.0. This is due to insufficient input sanitization and output escaping on user-supplied 'width' and 'height' shortcode att…
CVE-2026-8846
The Tuxquote plugin for WordPress is vulnerable to Stored Cross-Site Scripting via the 'TUXQUOTE' shortcode in versions
14:48 KSA
The Tuxquote plugin for WordPress is vulnerable to Stored Cross-Site Scripting via the 'TUXQUOTE' shortcode in versions up to, and including, 1.3. This is due to insufficient input sanitization and output escaping on user supplied attributes ('title', 'align', and 'width') in the…
CVE-2026-8847
The Dideo plugin for WordPress is vulnerable to Stored Cross-Site Scripting via the plugin's 'dideo' shortcode in versio
14:48 KSA
The Dideo plugin for WordPress is vulnerable to Stored Cross-Site Scripting via the plugin's 'dideo' shortcode in version 1.0. This is due to insufficient input sanitization and output escaping on the 'id' shortcode attribute, which is interpolated directly into an HTML iframe 's…
CVE-2026-8866
The jQuery googleslides plugin for WordPress is vulnerable to Stored Cross-Site Scripting via the 'googleslides' shortco
14:48 KSA
The jQuery googleslides plugin for WordPress is vulnerable to Stored Cross-Site Scripting via the 'googleslides' shortcode in all versions up to, and including, 1.3. This is due to insufficient input sanitization and output escaping on user supplied attributes (userid, albumid, a…
CVE-2026-8867
The Post Category Gallery plugin for WordPress is vulnerable to Stored Cross-Site Scripting via the plugin's 'postcatego
14:48 KSA
The Post Category Gallery plugin for WordPress is vulnerable to Stored Cross-Site Scripting via the plugin's 'postcategorygallery' shortcode in versions up to, and including, 1.0.0. This is due to insufficient input sanitization and output escaping on user-supplied shortcode attr…
CVE-2026-8868
The Single Mailchimp plugin for WordPress is vulnerable to Stored Cross-Site Scripting via the 'single-mailchimp' shortc
14:48 KSA
The Single Mailchimp plugin for WordPress is vulnerable to Stored Cross-Site Scripting via the 'single-mailchimp' shortcode in all versions up to, and including, 1.4. This is due to insufficient input sanitization and output escaping on user-supplied shortcode attributes (autocom…
تحتوي ثغرة التطبيق على نقص في تنظيف مدخلات المستخدم وعدم الهروب من المخرجات في دالة mfd_shortcode()، حيث يتم دمج خاصية 'title' مباشرة في عنصر HTML caption. يمكن للمهاجمين المصرحين بمستوى المساهم أو أعلى حقن برامج نصية تعسفية تُنفذ في سياق متصفح المستخدم.
يعاني مكون Team Master من ثغرة Stored XSS تسمح للمساهمين المصرحين بحقن برامج نصية ضارة في سمات الاختصار. تُنفذ هذه البرامج النصية عندما يزور أي مستخدم الصفحة المحقونة، مما قد يؤدي إلى سرقة الجلسات أو بيانات المستخدم.
CVE-2026-8871
ثغرة XSS مخزنة في مكون Formidable Kinetic لـ WordPress عبر اختصار kinetic_link
14:48 KSA
ثغرة XSS مخزنة في مكون Formidable Kinetic تسمح للمساهمين المصرح لهم بحقن برامج نصية عشوائية عبر سمات اختصار 'kinetic_link' غير المنظفة بشكل صحيح. تنفذ البرامج الضارة المحقونة عندما يزور المستخدمون الصفحات المتأثرة، مما يعرض بيانات الجلسة والمعلومات الحساسة للخطر. هذه الثغرة تؤثر …
CVE-2026-8872
The Animate Your Content plugin for WordPress is vulnerable to Stored Cross-Site Scripting via the plugin's 'animation-s
19:54 KSA
The Animate Your Content plugin for WordPress is vulnerable to Stored Cross-Site Scripting via the plugin's 'animation-set' shortcode in versions up to, and including, 1.0.0. This is due to insufficient input sanitization and output escaping on user supplied attributes in the sho…
CVE-2026-8873
The Content Slideshow plugin for WordPress is vulnerable to Stored Cross-Site Scripting via Shortcode Attributes in all
19:54 KSA
The Content Slideshow plugin for WordPress is vulnerable to Stored Cross-Site Scripting via Shortcode Attributes in all versions up to, and including, 2.4.1 due to insufficient input sanitization and output escaping. This makes it possible for authenticated attackers, with contri…
CVE-2026-8875
The Easy Prism Syntax Highlighter plugin for WordPress is vulnerable to Stored Cross-Site Scripting via the plugin's 'co
19:54 KSA
The Easy Prism Syntax Highlighter plugin for WordPress is vulnerable to Stored Cross-Site Scripting via the plugin's 'code' (and 'c') shortcode in versions up to, and including, 1.0.2. This is due to insufficient input sanitization and output escaping on user supplied shortcode a…
CVE-2026-8877
ثغرة Stored XSS في إضافة Responsive Video Embedder لـ WordPress عبر Shortcode
19:54 KSA
إضافة Responsive Video Embedder لـ WordPress تحتوي على ثغرة Stored Cross-Site Scripting في دالة video_shortcode() حيث لا يتم تنظيف مدخلات المستخدم بشكل كافٍ للخصائص 'id' و 'list'. يمكن للمستخدمين الذين لديهم صلاحيات المساهم أو أعلى حقن برامج نصية ضارة تُنفذ عند وصول أي مستخدم إلى…
تحتوي إضافة Instant-Quote.co Quotation Page للووردبريس على ثغرة Stored XSS في سمات Shortcode بسبب عدم كفاية تنظيف المدخلات والتحقق من المخرجات. يمكن للمستخدمين المصرحين على مستوى المساهم حقن نصوص برمجية ضارة تُنفذ عند وصول المسؤولين أو المستخدمين الآخرين إلى الصفحات المتأثرة.
تحتوي إضافة hk_shortcode على ثغرة Stored XSS في دالة huankong_post_short_title_plane() حيث يتم دمج سمة 'title' مباشرة في مخرجات HTML دون أي هروب. يمكن للمهاجمين المصرح لهم على مستوى المساهم أو أعلى حقن نصوص برمجية عشوائية تُنفذ عند وصول المستخدمين إلى الصفحات المصابة.
ثغرة Stored XSS في إضافة Listen Shortcode لـ WordPress تسمح للمستخدمين المصرح لهم بمستوى المساهم وما فوقه بحقن نصوص برمجية خبيثة عبر سمات الاختصار (src, start, end). تنفذ البرامج النصية المحقونة تلقائياً عند وصول أي مستخدم إلى الصفحة المتأثرة.
CVE-2026-8891
The BitForm plugin for WordPress is vulnerable to Stored Cross-Site Scripting via the plugin's 'bitform' shortcode in ve
00:32 KSA
The BitForm plugin for WordPress is vulnerable to Stored Cross-Site Scripting via the plugin's 'bitform' shortcode in versions up to, and including, 1.1.0. This is due to insufficient input sanitization and output escaping on user-supplied shortcode attributes ('width' and 'heigh…
CVE-2026-8894
The iWR Tooltip plugin for WordPress is vulnerable to Stored Cross-Site Scripting via the plugin's `iwrtooltip` shortcod
00:32 KSA
The iWR Tooltip plugin for WordPress is vulnerable to Stored Cross-Site Scripting via the plugin's `iwrtooltip` shortcode in versions up to, and including, 1.0. This is due to insufficient input sanitization and output escaping on user supplied attributes in the iwr_tooltip() sho…
CVE-2026-8898
ثغرة Cross-Site Scripting المخزنة في إضافة Events In City لـ WordPress عبر اختصار org-events
00:32 KSA
تحتوي إضافة Events In City على ثغرة Stored XSS في دالة org_event_scode() حيث يتم دمج قيم السمات مباشرة في خصائص HTML دون تجنب مناسب. يمكن للمستخدمين الذين لديهم صلاحيات المساهم أو أعلى حقن نصوص برمجية ضارة تنفذ عند وصول المستخدمين إلى الصفحات المتأثرة.
ثغرة Stored XSS في إضافة Auto Thumbnail للـ WordPress تؤثر على جميع الإصدارات حتى 1.0، حيث تفتقر دالة athn_thumbnails() إلى التنظيف الكافي للمدخلات وترميز المخرجات. يمكن للمستخدمين المصرح لهم على مستوى المساهم وما فوق حقن نصوص برمجية عشوائية في صفحات الويب التي ستُنفذ عند وصول أي…
يؤثر هذا الضعف على جميع إصدارات مكون LiveSmart Video Chat حتى الإصدار 1.2 ويسمح للمستخدمين المصرح لهم بمستوى المساهم بحقن رموز JavaScript ضارة. تُنفذ البرامج النصية المحقونة تلقائياً عندما يزور أي مستخدم الصفحة المتأثرة، مما قد يؤدي إلى سرقة الجلسات أو بيانات المستخدم.
CVE-2026-8897
The Shortcode Buddy plugin for WordPress is vulnerable to Stored Cross-Site Scripting via Shortcode Attributes in all ve
00:32 KSA
The Shortcode Buddy plugin for WordPress is vulnerable to Stored Cross-Site Scripting via Shortcode Attributes in all versions up to, and including, 0.1.9.5 due to insufficient input sanitization and output escaping. This makes it possible for authenticated attackers, with contri…
ثغرة Cross-Site Request Forgery في إضافة WP AutoBuzz تسمح للمهاجمين غير المصرحين بتحديث إعدادات الإضافة وحقن برامج نصية ضارة من خلال طلب مزيف. تنتج الثغرة عن عدم التحقق من nonce بشكل صحيح وتجاوز آليات حماية WordPress بكتابة القيم مباشرة عبر update_option.
تحتوي إضافة Gutenverse على ثغرة في معالجة معامل البحث حيث يتم إخراج القيمة مباشرة دون تطبيق دوال الهروب الأمنية. يمكن للمهاجمين استغلال هذه الثغرة لحقن وتنفيذ أكواد JavaScript ضارة في متصفحات المستخدمين.
تحتوي دالة render_figure() في ملف src/mistune/directives/image.py على ثغرة حقن السمات حيث يتم دمج خيارات figclass و figwidth مباشرة في سمات HTML دون تجنب. هذا يسمح بتجاوز آليات الحماية من XSS حتى عند استخدام HTMLRenderer مع خيار escape=True.
CVE-2026-7660
ثغرة XSS المنعكسة في إضافة Easy Updates Manager لـ WordPress عبر معامل Paged
11:23 KSA
تحتوي إضافة Easy Updates Manager لـ WordPress على ثغرة XSS منعكسة في دالة pagination() حيث لا يتم تنظيف مدخلات معامل 'paged' بشكل كافٍ. يمكن للمهاجمين حقن نصوص برمجية ضارة تُنفذ عند وصول المسؤولين إلى صفحات تحتوي على روابط مصابة.
CVE-2026-8707
The NS Product icon badge plugin for WordPress is vulnerable to Reflected Cross-Site Scripting via PHP_SELF in all versi
09:54 KSA
The NS Product icon badge plugin for WordPress is vulnerable to Reflected Cross-Site Scripting via PHP_SELF in all versions up to, and including, 1.2.4 due to insufficient input sanitization and output escaping. This makes it possible for unauthenticated attackers to inject arbit…
تحتوي هذه الثغرة على عيب في معالجة Keycloak لكائنات الطلب المشفرة بـ JWE حيث قد لا يتم التحقق من التوقيع على المطالبات المفككة. يسمح هذا للمهاجمين بتجاوز سياسات التوقيع المكونة وتقديم مطالبات غير مصرح بها في تدفقات OIDC. الثغرة تنتهك متطلبات التوقيع الأساسية في معايير OIDC Core و…
تفشل مكتبة eventsource-encoder في الإصدارات السابقة للإصدار 1.0.2 في تنظيف حقول الأحداث والمعرفات قبل تسلسلها. يمكن لمهاجم يتحكم في أي من هذه الحقول حقن فواصل أسطر Server-Sent Events التعسفية وتزوير حقول SSE إضافية أو رسائل كاملة على التدفق. تم إصلاح هذه الثغرة في الإصدار 1.0.2.
ثغرة في مكتبة pypdf مفتوحة المصدر تسمح بهجمات رفض الخدمة من خلال ملفات PDF المصنوعة بعناية. تحدث الثغرة عند استخراج النصوص في وضع التخطيط باستخدام إزاحات أحرف كبيرة جداً، مما يؤدي إلى استهلاك مفرط للذاكرة.
ثغرة في مكتبة pypdf تسمح للمهاجمين بإنشاء ملفات PDF تحتوي على بيانات XMP كبيرة وغير ضرورية تؤدي إلى استهلاك مفرط للذاكرة. هذا يمكن أن يسبب حجب الخدمة على الأنظمة التي تعالج ملفات PDF باستخدام هذه المكتبة. تم إصلاح الثغرة في الإصدار 6.12.1.
CVE-2026-28357
NocoDB is software for building databases as spreadsheets. Prior to version 0.301.3, a stored XSS vulnerability exists i
02:48 KSA
NocoDB is software for building databases as spreadsheets. Prior to version 0.301.3, a stored XSS vulnerability exists in the Formula virtual cell. Formula results containing URI::() patterns are rendered via v-html without sanitization, allowing injected HTML to execute. This is…
CVE-2026-28359
NocoDB is software for building databases as spreadsheets. Prior to version 0.301.3, an authenticated user with Editor r
02:48 KSA
NocoDB is software for building databases as spreadsheets. Prior to version 0.301.3, an authenticated user with Editor role can inject arbitrary HTML into Rich Text cells by bypassing the TipTap editor and sending raw HTML via the API. This issue has been patched in version 0.301…
CVE-2026-28397
NocoDB is software for building databases as spreadsheets. Prior to version 0.301.3, comments rendered via v-html withou
02:48 KSA
NocoDB is software for building databases as spreadsheets. Prior to version 0.301.3, comments rendered via v-html without sanitization enable stored XSS. This issue has been patched in version 0.301.3.
CVE-2026-28398
NocoDB is software for building databases as spreadsheets. Prior to version 0.301.3, user-controlled content in comments
02:48 KSA
NocoDB is software for building databases as spreadsheets. Prior to version 0.301.3, user-controlled content in comments and rich text cells was rendered via v-html without sanitization, enabling stored XSS. This issue has been patched in version 0.301.3.
CVE-2026-28401
NocoDB is software for building databases as spreadsheets. Prior to version 0.301.3, rich text cell content rendered via
02:48 KSA
NocoDB is software for building databases as spreadsheets. Prior to version 0.301.3, rich text cell content rendered via v-html without sanitization enables stored XSS. This issue has been patched in version 0.301.3.
CVE-2026-28556
wpForo Forum 2.4.14 contains a missing authorization vulnerability that allows authenticated subscribers to move, merge,
02:48 KSA
wpForo Forum 2.4.14 contains a missing authorization vulnerability that allows authenticated subscribers to move, merge, or split any forum topic via the topic_move, topic_merge, and topic_split form action handlers. Attackers with a valid form nonce can reorganize arbitrary foru…
تؤثر هذه الثغرة على وحدة التحكم في الصور في تطبيق megagao ssm-erp حيث يمكن للمهاجمين استخدام أحرف خاصة مثل ../ للوصول إلى ملفات خارج الدليل المقصود. يمكن استغلال هذه الثغرة عن بعد دون الحاجة إلى مصادقة.
CVE-2026-2951
The Gutentor – Gutenberg Blocks – Page Builder for Gutenberg Editor plugin for WordPress is vulnerable to Stored Cross-S
12:41 KSA
The Gutentor – Gutenberg Blocks – Page Builder for Gutenberg Editor plugin for WordPress is vulnerable to Stored Cross-Site Scripting in versions up to, and including, 3.5.5 due to insufficient input sanitization and output escaping. This makes it possible for authenticated attac…
CVE-2026-2953
A vulnerability has been found in Dromara UJCMS 101.2. This issue affects the function deleteDirectory of the file WebFi
11:14 KSA
A vulnerability has been found in Dromara UJCMS 101.2. This issue affects the function deleteDirectory of the file WebFileTemplateController.delete of the component Template Handler. Such manipulation leads to path traversal. The attack may be performed from remote. The exploit h…
CVE-2026-2957
A weakness has been identified in qinming99 dst-admin up to 1.5.0. This impacts the function deleteBackup of the file sr
11:14 KSA
A weakness has been identified in qinming99 dst-admin up to 1.5.0. This impacts the function deleteBackup of the file src/main/java/com/tugos/dst/admin/controller/BackupController.java of the component File Handler. This manipulation causes denial of service. The attack may be in…
CVE-2026-31313
An authenticated stored cross-site scripting (XSS) vulnerability in the creation/editing module of Feehi CMS v2.1.1 allo
03:35 KSA
An authenticated stored cross-site scripting (XSS) vulnerability in the creation/editing module of Feehi CMS v2.1.1 allows attackers to execute arbitrary web scripts or HTML via injecting a crafted payload into the Content field.
CVE-2026-31350
An authenticated stored cross-site scripting (XSS) vulnerability in Feehi CMS v2.1.1 allows attackers to execute arbitra
03:35 KSA
An authenticated stored cross-site scripting (XSS) vulnerability in Feehi CMS v2.1.1 allows attackers to execute arbitrary web scripts or HTML via injecting a crafted payload into the Page Sign parameter.
CVE-2026-31352
An authenticated stored cross-site scripting (XSS) vulnerability in the Role Management module of Feehi CMS v2.1.1 allow
03:35 KSA
An authenticated stored cross-site scripting (XSS) vulnerability in the Role Management module of Feehi CMS v2.1.1 allows attackers to execute arbitrary web scripts or HTML via injecting a crafted payload into the Role Name parameter.
CVE-2026-31353
An authenticated stored cross-site scripting (XSS) vulnerability in the Category module of Feehi CMS v2.1.1 allows attac
03:35 KSA
An authenticated stored cross-site scripting (XSS) vulnerability in the Category module of Feehi CMS v2.1.1 allows attackers to execute arbitrary web scripts or HTML via injecting a crafted payload into the Name parameter.
CVE-2026-31354
Multiple authenticated stored cross-site scripting (XSS) vulnerabilities in the Permissions module of Feehi CMS v2.1.1 a
03:35 KSA
Multiple authenticated stored cross-site scripting (XSS) vulnerabilities in the Permissions module of Feehi CMS v2.1.1 allows attackers to execute arbitrary web scripts or HTML via injecting a crafted payload into the Group, Category or Description parameters.
تحتوي إضافة Minify HTML لـ WordPress على ثغرة CSRF في الإصدارات حتى 2.1.12 بسبب عدم التحقق من nonce في دالة minify_html_menu_options. يمكن للمهاجمين غير المصرح لهم تعديل إعدادات الإضافة بخداع مسؤولي الموقع لتنفيذ إجراءات معينة.
CVE-2026-32859
ByteDance Deer-Flow versions prior to commit 5dbb362 contain a stored cross-site scripting vulnerability in the artifact
02:36 KSA
ByteDance Deer-Flow versions prior to commit 5dbb362 contain a stored cross-site scripting vulnerability in the artifacts API that allows attackers to execute arbitrary scripts by uploading malicious HTML or script content as artifacts. Attackers can store malicious content that …
CVE-2026-32895
OpenClaw versions prior to 2026.2.26 fail to enforce sender authorization in member and message subtype system event han
05:45 KSA
OpenClaw versions prior to 2026.2.26 fail to enforce sender authorization in member and message subtype system event handlers, allowing unauthorized events to be enqueued. Attackers can bypass Slack DM allowlists and per-channel user allowlists by sending system events from non-a…
تحتوي ثغرة التفويض هذه على آلية موافقة تلقائية معيبة في عميل ACP تعتمد على بيانات وصفية غير موثوقة وقواعس استدلال ضعيفة لتصنيف استدعاءات الأدوات. يمكن للمهاجمين استغلال هذا الضعف بتزييف نوع الأداة أو استخدام أسماء تشبه عمليات القراءة لتجاوز الموافقات التفاعلية. هذا يسمح بتنفيذ عم…
CVE-2026-32923
OpenClaw before 2026.3.11 contains an authorization bypass vulnerability in Discord guild reaction ingestion that fails
22:54 KSA
OpenClaw before 2026.3.11 contains an authorization bypass vulnerability in Discord guild reaction ingestion that fails to enforce member users and roles allowlist checks. Non-allowlisted guild members can trigger reaction events accepted as trusted system events, injecting react…
CVE-2026-33051
Craft CMS is a content management system (CMS). In versions 5.9.0-beta.1 through 5.9.10, the revision/draft context menu
05:45 KSA
Craft CMS is a content management system (CMS). In versions 5.9.0-beta.1 through 5.9.10, the revision/draft context menu in the element editor renders the creator’s fullName as raw HTML due to the use of Template::raw() combined with Craft::t() string interpolation. A low-privile…
CVE-2026-33119
User interface (ui) misrepresentation of critical information in Microsoft Edge (Chromium-based) allows an unauthorized
08:16 KSA
User interface (ui) misrepresentation of critical information in Microsoft Edge (Chromium-based) allows an unauthorized attacker to perform spoofing over a network.
CVE-2026-33276
Stored cross-site scripting (XSS) in Checkmk 2.5.0 (beta) before 2.5.0b2 allows authenticated users with permission to c
19:04 KSA
Stored cross-site scripting (XSS) in Checkmk 2.5.0 (beta) before 2.5.0b2 allows authenticated users with permission to create hosts or services to execute arbitrary JavaScript in the browsers of other users performing searches in the Unified Search feature.
CVE-2026-3358
The Tutor LMS – eLearning and online course solution plugin for WordPress is vulnerable to unauthorized private course e
08:16 KSA
The Tutor LMS – eLearning and online course solution plugin for WordPress is vulnerable to unauthorized private course enrollment in all versions up to, and including, 3.9.7. This is due to missing post_status validation in the `enroll_now()` and `course_enrollment()` functions. …
CVE-2026-3369
The Better Find and Replace – AI-Powered Suggestions plugin for WordPress is vulnerable to Stored Cross-Site Scripting v
04:09 KSA
The Better Find and Replace – AI-Powered Suggestions plugin for WordPress is vulnerable to Stored Cross-Site Scripting via uploaded image title in versions up to, and including, 1.7.9 due to insufficient input sanitization and output escaping. This makes it possible for authentic…
CVE-2026-33915
OpenEMR is a free and open source electronic health records and medical practice management application. Prior to versio
11:08 KSA
OpenEMR is a free and open source electronic health records and medical practice management application. Prior to version 8.0.0.3, five insurance company REST API routes are missing the `RestConfig::request_authorization_check()` call that every other data-modifying route in the …
CVE-2026-34307
Vulnerability in the PeopleSoft Enterprise PeopleTools product of Oracle PeopleSoft (component: Workflow). Supported ve
11:16 KSA
Vulnerability in the PeopleSoft Enterprise PeopleTools product of Oracle PeopleSoft (component: Workflow). Supported versions that are affected are 8.61-8.62. Easily exploitable vulnerability allows low privileged attacker with network access via HTTP to compromise PeopleSoft En…
CVE-2026-34425
OpenClaw versions prior to commit 8aceaf5 contain a preflight validation bypass vulnerability in shell-bleed protection
19:04 KSA
OpenClaw versions prior to commit 8aceaf5 contain a preflight validation bypass vulnerability in shell-bleed protection that allows attackers to execute blocked script content by using piped or complex command forms that the parser fails to recognize. Attackers can craft commands…
CVE-2026-34429
Vvveb prior to 1.0.8.1 contains a stored cross-site scripting vulnerability that allows authenticated users with media u
22:36 KSA
Vvveb prior to 1.0.8.1 contains a stored cross-site scripting vulnerability that allows authenticated users with media upload and rename permissions to execute arbitrary JavaScript by bypassing MIME type validation and renaming uploaded files to executable extensions. Attackers c…
تؤثر هذه الثغرة على Adobe Experience Manager وتسمح للمهاجمين بتنفيذ رموز JavaScript ضارة في سياق متصفح الضحية من خلال معالجة DOM. يتطلب الاستغلال تفاعل المستخدم مثل زيارة صفحة ويب مصممة بشكل خاص. قد يؤدي هذا إلى سرقة بيانات الجلسة أو تنفيذ إجراءات غير مصرح بها نيابة عن المستخدم.
تؤثر هذه الثغرة على نظام إدارة المحتوى Adobe Experience Manager وتسمح بتنفيذ أكواد JavaScript ضارة عبر معالجة DOM غير آمنة. يمكن للمهاجمين استغلال هذه الثغرة بإنشاء صفحات ويب معدة خصيصاً لخداع المستخدمين. تتطلب الاستغلال تفاعل المستخدم مثل زيارة رابط أو صفحة معدة.
ثغرة XSS قائمة على DOM في Adobe Experience Manager تسمح للمهاجمين بحقن وتنفيذ كود JavaScript ضار في سياق متصفح الضحية. تتطلب الاستغلال تفاعل المستخدم مثل زيارة صفحة ويب معدة بشكل خاص من قبل المهاجم. قد يؤدي هذا إلى سرقة بيانات المستخدم أو جلسات العمل أو تنفيذ إجراءات غير مصرح بها…
يسمح Parse Server بتحميل ملفات بامتدادات مسموحة (مثل .txt) لكن برؤوس Content-Type مختلفة (مثل text/html) دون التحقق من التطابق. محولات التخزين مثل Amazon S3 و Google Cloud Storage تخدم الملفات برؤوس Content-Type التي يتحكم بها المهاجم، مما قد يؤدي إلى هجمات XSS أو تنفيذ محتوى ضار…
ثغرة في مكون Dynamic Monitoring Service بـ Oracle Fusion Middleware تسمح لمهاجم بامتيازات منخفضة بالوصول عبر HTTP بتجاوز آليات التفويض. يتطلب الاستغلال تفاعل المستخدم ويمكن أن يؤثر على سرية وسلامة البيانات. الثغرة تؤثر على نطاق أوسع من المنتجات المتصلة.
تتعلق الثغرة بقراءة البيانات خارج حدود الذاكرة المخصصة في عميل Telnet، مما يسمح بالكشف عن معلومات حساسة. يمكن للمهاجمين استغلال هذه الثغرة للوصول إلى بيانات سرية مثل كلمات المرور والرموز المميزة.
يحتوي OpenClaw على ثغرات تفويض مفقودة في معالجات أوامر /send و/allowlist تسمح للمهاجمين بتجاوز الضوابط الأمنية. يمكن للمهاجمين الذين لديهم صلاحيات operator.write تعديل سياسات التسليم والقوائم البيضاء بشكل دائم دون الحصول على صلاحيات إدارية مناسبة.
CVE-2026-3591
ثغرة تجاوز قائمة التحكم بالوصول في خادم BIND 9 DNS عبر ثغرة الاستخدام بعد العودة
11:08 KSA
تتعلق الثغرة بخلل في معالجة استعلامات DNS الموقعة بـ SIG(0) في خادم BIND 9، حيث يمكن للمهاجم استخدام طلب DNS خاص لتجاوز قوائم التحكم بالوصول. هذا قد يؤدي إلى وصول غير مصرح به خاصة في الأنظمة التي تستخدم قوائم تحكم افتراضية مسموحة.
CVE-2026-3829
ثغرة في مكون WP Encryption - فحوصات القدرات المفقودة والتعديل غير المصرح على إعدادات SSL
02:48 KSA
يحتوي مكون WP Encryption على ثغرة في فحوصات القدرات في الدالة 'wple_basic_get_requests' تسمح للمستخدمين المصرح لهم على مستوى المشترك بتعديل إعدادات SSL وإعادة تعيين حالة الإعداد. يمكن للمهاجمين إجبار ظهور SSL كمكتمل وتعديل خيارات اختيار الخطة، مما يؤثر على سلامة تنفيذ HTTPS.
تفشل ثغرة التحقق من المرسلين في OpenClaw في التحقق من هوية مرسلي الرسائل عند جلب سياق جذر الخيط والرد في Matrix. يمكن للمهاجمين استغلال هذا الضعف للوصول إلى رسائل يجب أن تكون مقيدة بقوائم المرسلين المسموح بهم. يؤثر هذا على سرية البيانات والامتثال لسياسات التحكم في الوصول.
تحتوي هذه الثغرة على فجوات في التحقق من صحة الأدوار والتحقق من أسماء القنوات في نظام OpenClaw. يمكن للمهاجمين استغلال هذه الفجوات للوصول إلى القنوات الصوتية المقيدة بدون تفويض مناسب. تؤثر الثغرة على أنظمة التحكم في الوصول والمصادقة في البيئات التعاونية.
CVE-2026-41466
ثغرة XSS المخزنة في دالة checkValidHtmlText() في ProjeQtor (CVE-2026-41466)
22:24 KSA
تحتوي ثغرة CVE-2026-41466 على فشل في تنظيف المدخلات في دالة checkValidHtmlText() بملف Security.php حيث تكتشف الدالة أنماطاً محددة فقط وتعيد سلاسل غير منظفة بدون ترميز الإخراج. يمكن للمهاجمين استخدام بناء جملة بديل مثل علامات img مع معالجات الأحداث لتجاوز الفلتر وحقن برامج ضارة يت…
تفشل دالة checkValidFileName() في ProjeQtor في تقييد تحميل ملفات HTML و HTM، مما يسمح للمهاجمين المصرحين بتحميل ملفات تحتوي على JavaScript عشوائي. عند وصول أي مستخدم إلى عنوان URL للملف المحمل، سيتم تنفيذ JavaScript المضمن في متصفح المستخدم، مما قد يؤدي إلى سرقة الجلسات والبيانات…
يحتوي OpenClaw قبل الإصدار 2026.4.20 على ضعف في التفويض غير الصحيح في إدارة إقران الأجهزة المقترنة. يسمح هذا الضعف للمهاجمين الذين لديهم وصول إلى أجهزة مقترنة بتعداد والتصرف على طلبات الأجهزة المعلقة غير ذات الصلة ضمن نطاق البوابة نفسه.
تحتوي ثغرة CWE-613 على مشكلة في إدارة حالة المصادقة حيث يحتفظ النظام بحالة مصادقة قديمة بعد إعادة تحميل التكوين. يمكن للمهاجمين استغلال هذا الضعف للوصول إلى الموارد المحمية من خلال الاتصالات التي تستخدم حالة المصادقة القديمة.
تحتوي OpenClaw على ثغرة في إدارة الجلسات حيث لا يتم قطع اتصالات WebSocket الموجودة عند تدوير رموز البوابة المشتركة. يمكن للمهاجمين استغلال هذا الفشل للحفاظ على الوصول غير المصرح به بعد تحديث الرموز الأمنية. هذا يشكل خطراً على سلامة أنظمة المصادقة والتحكم في الوصول.
ثغرة في Microsoft Edge (المستند على Chromium) تتعلق بعدم معالجة العناصر الخاصة بشكل صحيح في المخرجات المستخدمة من قبل مكون لاحق. يمكن للمهاجمين استغلال هذه الثغرة للحصول على امتيازات أعلى عبر الشبكة دون تفويض.
CVE-2026-4335
ثغرة حقن نصوص برمجية مخزنة في إضافة ShortPixel Image Optimizer لـ WordPress عبر عنوان المرفق
11:08 KSA
تحتوي إضافة ShortPixel Image Optimizer على ثغرة حقن نصوص برمجية مخزنة في دالة getEditorPopup() حيث لا يتم تجاهل مخرجات عنوان المرفق بشكل صحيح. يمكن للمهاجمين المصرح لهم بدور المؤلف إنشاء عناوين مرفقات ضارة عبر REST API تحتوي على أحرف علامات اقتباس مزدوجة لكسر سمات HTML وحقن معالج…
يحتوي خادم Bitwarden على ثغرة تفويض مفقودة في نقطة نهاية استيراد التشفيرات التنظيمية. يمكن للمستخدمين المصرح لهم استغلال هذه الثغرة بإرسال مصفوفة مجموعات فارغة لتجاوز فحوصات الأذونات على جانب الخادم. قد يؤدي هذا إلى وصول غير مصرح به وتعديل بيانات المنظمات الأخرى.
تحتوي نسخ IBM Verify Identity Access Container (11.0-11.0.2) و IBM Security Verify Access (10.0-10.0.9.1) على ثغرة حقن JavaScript حيث يتم إرجاع بيانات JSON برأس Content-Type محدد كـ text/html بدلاً من application/json. قد يؤدي هذا إلى تفسير المتصفح للبيانات كبرنامج نصي قابل للتنف…
CVE-2026-43644
ثغرة XSS منعكسة في Podinfo في نقاط نهاية Echo بسبب رؤوس Content-Type المفقودة
02:48 KSA
تحتوي نقاط نهاية /echo و /api/echo في podinfo على ثغرة XSS منعكسة حيث يتم كتابة محتوى جسم الطلب مباشرة في الاستجابة دون تعيين رؤوس Content-Type أو X-Content-Type-Options صريحة. يمكن للمهاجمين صياغة صفحات HTML عبر الأصول مع نماذج ذاتية الإرسال تحتوي على حمولات برامج نصية في جسم ال…
يحتوي مكون Download Monitor للـ WordPress على ثغرة CSRF في دوال معالجة الإجراءات بسبب عدم التحقق من رموز nonce. يمكن للمهاجمين غير المصرح لهم خداع مسؤولي الموقع لحذف أو تعطيل أو تفعيل مسارات التنزيل المعتمدة. تؤثر الثغرة على جميع الإصدارات حتى 5.1.10.
ثغرة XSS المخزنة في سجل MCP تؤثر على واجهة المستخدم للكتالوج العام قبل الإصدار 1.7.7. يفشل التحقق من صحة جانب الخادم في رفض أحرف الاقتباس في حقل websiteUrl، مما يسمح بكسر سمات HTML والحقن البرمجي. يمكن للمهاجمين إدراج رموز ضارة تُنفذ في متصفحات المستخدمين عند عرض قوائم الخوادم ال…
CVE-2026-44598
ثغرة إعادة التوجيه المفتوحة و SSRF في Apache Shiro Jakarta EE عبر ملف تعريف غير مصرح
19:54 KSA
تحتوي وحدة تكامل Jakarta EE في Apache Shiro على ثغرة أمان حيث لا يتم التحقق من صحة ملف تعريف الارتباط shiroSavedRequest بعد تسجيل الدخول الناجح. يمكن لمهاجم مصرح بتزوير هذا الملف لإرسال طلب HTTP GET من الخادم نفسه إلى عنوان URL تعسفي. تؤثر هذه الثغرة على الإصدارات من 2.0-alpha إل…
تحتوي هذه الثغرة على خلل في آلية تصنيف الرسائل ضمن نظام Feishu حيث يتم الخلط بين الرسائل المباشرة والمحادثات الجماعية. يسمح هذا الخلل للمهاجمين بتجاوز سياسات الحماية المفروضة على الرسائل المباشرة وتنفيذ إجراءات غير مصرح بها.
تسمح هذه الثغرة للمهاجمين المحليين بإضافة أدوات مقيدة إلى مجموعة الأدوات الفعالة بعد تصفية السياسة، مما يؤدي إلى تجاوز قيود الملف الشخصي وقوائم السماح/الحظر وقيود المالك فقط وسياسات الحماية. يمكن للمهاجمين الاستفادة من هذه الثغرة للوصول إلى أدوات محظورة وتنفيذ إجراءات غير مصرح به…
تحتوي ثغرة XSS المخزنة هذه على خطورة متوسطة حيث تتطلب مصادقة مسبقة لكن تؤثر على جميع المستخدمين المصرح لهم. يمكن للمهاجمين سرقة ملفات تعريف الجلسة والقيام بإجراءات مصرح بها نيابة عن الضحايا. الثغرة موجودة في معالجة أسماء مفاتيح الإعدادات التي لا يتم تصفيتها بشكل صحيح قبل العرض.
تحتوي نسخ Summarize السابقة للإصدار 0.15.1 على ثغرة تفويض مفقودة تسمح للمهاجمين بتنفيذ إجراءات أتمتة المتصفح دون موافقة المستخدم. يمكن للمهاجمين التأثير على الامتداد من خلال محتوى صفحة ويب أو ملخصات ضارة لاستدعاء أدوات الأتمتة المفعلة مثل الملاحة أو إجراءات مدعومة بأداة تصحيح الأ…
ثغرة اجتياز المسار (Path Traversal) في SSCMS 4.7.0 تؤثر على وحدة layerImage حيث يمكن للمهاجمين البعيدين استخدام معامل filePaths للوصول إلى ملفات خارج الدليل المقصود. تم الكشف عن الثغرة علنًا مما يزيد من خطر الاستغلال.
تتعلق الثغرة بفشل آلية التحقق من صحة المدخلات في Microsoft Edge، مما يسمح للمهاجمين بتجاوز ميزات الأمان المهمة. يمكن استغلال هذه الثغرة عن بعد عبر الشبكة لتنفيذ هجمات متنوعة دون الحاجة إلى امتيازات خاصة.
ثغرة تزييف الهوية في Microsoft Edge تسمح للمهاجمين بتلاعب واجهة المستخدم لخداع المستخدمين بشأن أصالة المواقع الإلكترونية. قد يؤدي هذا إلى هجمات تصيد احتيالي ناجحة وسرقة بيانات اعتماد المستخدمين.
تحتوي إضافة Premium Addons for Elementor على ثغرة Stored XSS في معامل 'custom_svg' بسبب عدم كفاية تنظيف المدخلات والتحقق من المخرجات. يمكن للمستخدمين المصرحين برفع المحتوى حقن برامج نصية ضارة تنفذ عند زيارة الصفحات المتأثرة.
ثغرة XSS معكوسة موجودة في ملف /supportboard/include/articles.php في Support Board الإصدار 3.7.7 حيث لا يتم تصفية معامل البحث بشكل صحيح. يمكن للمهاجم استغلال هذه الثغرة بإرسال رابط ضار يحتوي على كود JavaScript إلى الضحية. عند النقر على الرابط، سيتم تنفيذ الكود في متصفح الضحية مما …
ثغرة XSS معكوسة في Open ISES Tickets تسمح للمستخدمين المصرحين بحقن JavaScript عبر معامل ticket_id في ملف add.php. يتم تنفيذ الحمولة الضارة في متصفح الضحية عند عرض النموذج الذي يحتوي على المدخلات غير المعقمة. تؤثر الثغرة على الإصدارات السابقة للإصدار 3.44.2.
يحتوي تطبيق Open ISES Tickets على ثغرة XSS معكوسة في ملف add_nm.php حيث يتم تمرير معامل ticket_id دون تنظيف مباشرة إلى قيمة سمة input في نموذج HTML وإلى سلسلة JavaScript مضمنة. يمكن للمهاجمين المصرح لهم صياغة طلب ضار يحتوي على حمولة JavaScript تُنفذ في متصفح الضحية عند عرض الاستج…
تؤثر هذه الثغرة على Open ISES Tickets وهو نظام إدارة تذاكر شهير يستخدم في المنظمات السعودية. يمكن للمهاجمين المصرح لهم استغلال عدم تنظيف معامل frm_id لحقن كود JavaScript ضار. قد يؤدي هذا إلى سرقة جلسات المستخدمين أو بيانات حساسة من خلال متصفحات الضحايا.
تسمح هذه الثغرة للمهاجمين المصرحين بحقن أكواد JavaScript عشوائية عبر معاملات قاعدة البيانات المتعددة في نموذج HTML. عند تقديم طلب ضار يحتوي على حمولة JavaScript، يتم تنفيذ الكود في متصفح الضحية عند عرض الاستجابة. تؤثر الثغرة على جميع إصدارات Open ISES Tickets السابقة للإصدار 3.44…
ثغرة XSS انعكاسية في نظام إدارة تذاكر Open ISES تسمح للمستخدمين المصرحين بحقن كود JavaScript ضار عبر معاملات POST غير المعالجة في ملف delete_module.php. يمكن للمهاجم إنشاء طلب خبيث يحتوي على حمولة JavaScript تُنفذ في متصفح الضحية عند عرض الاستجابة.
CVE-2026-48218
ثغرة XSS معكوسة في Open ISES Tickets في landb.php عبر معاملات POST غير المعقمة
00:55 KSA
تتعلق الثغرة بفشل تطبيق Open ISES Tickets في تعقيم معاملات POST قبل عرضها في محتوى HTML و JavaScript مضمن. يمكن للمهاجمين المصرحين استغلال هذه الثغرة لتنفيذ كود JavaScript تعسفي في متصفح الضحية. تؤثر الثغرة على ملف landb.php في مجلد icons/buttons.
CVE-2026-48219
ثغرة XSS معكوسة في Open ISES Tickets في ملف ics202.php عبر معامل frm_add_str
00:55 KSA
ثغرة XSS معكوسة في نظام إدارة التذاكر Open ISES تؤثر على الإصدارات السابقة للإصدار 3.44.2. تسمح الثغرة للمهاجمين المصرح لهم بحقن كود JavaScript عشوائي عبر معامل frm_add_str في ملف ics202.php دون تصفية أو ترميز مناسب. يمكن للمهاجم استخدام هذه الثغرة للقيام بعمليات احتيال أو سرقة ب…
CVE-2026-48220
ثغرة XSS معكوسة في Open ISES Tickets في ملف ics205.php عبر معامل frm_add_str
00:55 KSA
ثغرة XSS معكوسة في تطبيق Open ISES Tickets تؤثر على الإصدارات السابقة للإصدار 3.44.2، حيث يمكن للمهاجمين المصرحين استغلال معامل frm_add_str في ملف ics205.php لحقن كود JavaScript ضار. يتم تنفيذ الكود المحقون في متصفح الضحية عند عرض الاستجابة، مما قد يؤدي إلى سرقة الجلسات أو بيانات…
ثغرة XSS معكوسة في تطبيق Open ISES Tickets تؤثر على الإصدارات السابقة 3.44.2 في ملف ics205a.php. يمكن للمهاجمين المصرح لهم بالوصول حقن كود JavaScript ضار عبر معامل frm_add_str الذي لم يتم تنقيته. يتم تنفيذ الكود الضار في متصفح الضحية عند عرض الاستجابة المصنوعة.
CVE-2026-48222
ثغرة XSS معكوسة في Open ISES Tickets في ملف ics213.php عبر معامل frm_add_str
00:55 KSA
تحتوي نسخ Open ISES Tickets السابقة للإصدار 3.44.2 على ثغرة XSS معكوسة في ملف ics213.php حيث لا يتم تنظيف معامل POST باسم frm_add_str قبل إدراجه في قيمة سمة hidden input في نموذج HTML. يمكن للمهاجمين المصرحين صياغة طلبات ضارة تحتوي على حمولات JavaScript تنفذ في متصفح الضحية عند ع…
CVE-2026-48223
ثغرة XSS معكوسة في Open ISES Tickets بمعامل frm_add_str في ملف ics213rr.php
00:55 KSA
ثغرة XSS معكوسة في تطبيق Open ISES Tickets تؤثر على الإصدارات السابقة للإصدار 3.44.2. يمكن للمهاجمين المصرحين استغلال عدم تنظيف معامل frm_add_str لحقن كود JavaScript ضار في قيمة سمة input المخفية في نموذج HTML. يتم تنفيذ الكود الضار في متصفح الضحية عند عرض الاستجابة، مما قد يؤدي …
CVE-2026-48224
ثغرة XSS منعكسة في Open ISES Tickets في ملف ics214.php عبر معامل frm_add_str
00:55 KSA
يؤثر هذا الضعف على Open ISES Tickets قبل الإصدار 3.44.2 ويسمح للمهاجمين المصرحين بحقن JavaScript عبر معامل frm_add_str في ملف ics214.php. يتم تنفيذ البرنامج النصي الضار في متصفح الضحية عند عرض الاستجابة، مما قد يؤدي إلى سرقة الجلسات أو البيانات الحساسة.
تحتوي نسخ Open ISES Tickets السابقة للإصدار 3.44.2 على ثغرة XSS معكوسة في ملف landb.php حيث لا يتم تنظيف معامل _type بشكل صحيح قبل إدراجه في سمات HTML المخفية. يمكن للمهاجمين المصرحين صياغة طلبات ضارة تحتوي على حمولات JavaScript التي تُنفذ في متصفح الضحية. هذه الثغرة تتطلب مصادقة…
CVE-2026-48226
ثغرة XSS معكوسة في Open ISES Tickets في ملف os_watch.php عبر معاملات POST غير المعالجة
00:55 KSA
ثغرة XSS معكوسة في تطبيق Open ISES Tickets تؤثر على ملف os_watch.php حيث يمكن للمهاجمين المصرحين حقن JavaScript عشوائي عبر معاملات POST غير المعالجة (ref و mode_orig). تنفذ الحمولة الضارة في متصفح الضحية عند عرض الاستجابة مما يسمح بسرقة البيانات أو جلسات العمل.
يؤثر هذا الضعف على نظام إدارة تذاكر ISES المفتوح المصدر المستخدم في المؤسسات الطبية والصحية. يتطلب الهجوم مصادقة مسبقة لكن يمكن للمهاجم استخدام حساب عادي لتنفيذ هجمات XSS ضد مستخدمين آخرين. قد يؤدي الاستغلال إلى سرقة جلسات العمل والبيانات الحساسة للمرضى.
ثغرة XSS منعكسة في تطبيق إدارة التذاكر الطبية Open ISES تسمح للمستخدمين المصرحين بحقن كود JavaScript ضار عبر معاملات الاستعلام غير المعالجة. يمكن للمهاجم إنشاء رابط ضار يؤدي إلى تنفيذ برامج نصية في متصفح المستخدم المستهدف عند النقر عليه.
ثغرة XSS منعكسة في تطبيق إدارة التذاكر Open ISES تسمح للمهاجمين المصرح لهم بحقن كود JavaScript عبر معامل ticket_id غير المنظف. يتم تنفيذ الكود الضار في متصفح الضحية عند عرض الاستجابة المحتوية على الحمولة الخبيثة. تؤثر الثغرة على الإصدارات السابقة للإصدار 3.44.2.
CVE-2026-48230
ثغرة XSS معكوسة في Open ISES Tickets في معاملات قاعدة البيانات بملف ticketsmdb_import.php
00:55 KSA
تحتوي ثغرة CVE-2026-48230 على ثغرة XSS معكوسة في نموذج استيراد قاعدة البيانات بـ Open ISES Tickets. يمكن للمهاجمين المصرحين حقن كود JavaScript ضار عبر معاملات الاتصال بقاعدة البيانات المتعددة التي لم يتم تنظيفها. يتم تنفيذ الحمولة الضارة عندما يعرض المتصفح الاستجابة التي تحتوي عل…
CVE-2026-48589
ثغرة إعادة التوجيه المفتوحة في وحدة Jakarta EE من Apache Shiro عبر رأس Referer
19:54 KSA
تحتوي وحدة Jakarta EE في Apache Shiro على ثغرة إعادة توجيه مفتوحة حيث يتم استخدام رأس HTTP Referer الذي يتحكم به العميل لتحديد هدف إعادة التوجيه بعد تسجيل الدخول دون التحقق الكافي. يمكن للمهاجمين استغلال هذه الثغرة لإعادة توجيه المستخدمين إلى مواقع ويب ضارة أو خادعة. تؤثر هذه الم…
⚠️ استخبارات التهديدات
45 تهديد
rss:Dark Reading
—
02:00 KSA
غارة هولندية تفشل في القضاء على مزود الاستضافة الروسي المحصن
صادرت السلطات الهولندية 800 خادم من THE.Hosting، وهو مزود استضافة محصن يستخدمه المجرمون السيبرانيون، لكنها فشلت في تفكيك العملية بالكامل حيث ظلت البنية التحتية الأساسية للعناوين سارية. يوضح هذا مرونة ا…
rss:Dark Reading
—
02:00 KSA
مسابقة تسمية الرسوم المتحركة
المقالة تتعلق بمسابقة لتسمية شخصيات رسوم متحركة وليس لها علاقة مباشرة بالتهديدات الأمنية السيبرانية.
rss:BleepingComputer
—
02:00 KSA
تحذير من مكتب التحقيقات الفيدرالي من مواقع فيفا مزيفة تدير عمليات احتيال كأس العالم
يحذر مكتب التحقيقات الفيدرالي من مواقع احتيالية تنتحل صفة الفيفا قبل كأس العالم 2026 بهدف سرقة المعلومات الشخصية والمالية للمستخدمين وبيع تذاكر وحزم ضيافة مزيفة. تستغل هذه العملي…
rss:CISA Advisories
—
02:00 KSA
اختراقات سلسلة التوريد تؤثر على Nx Console ومستودعات GitHub
تقوم CISA بمعالجة حملات اختراق متعددة في سلسلة التوريد تستهدف أنظمة المطورين وخطوط أنابيب CI/CD، بما في ذلك اختراقات GitHub وامتداد Nx Console VS Code. تشكل هذه الهجمات مخاطر كبيرة على البنية التحتية لت…
rss:SecurityWeek
—
00:57 KSA
مهاجمون مرتبطون بروسيا 'GreyVibe' يستخدمون الذكاء الاصطناعي لتعزيز الهجمات الإلكترونية
يستخدم مهاجمون GreyVibe المرتبطون بروسيا أدوات الذكاء الاصطناعي بما فيها ChatGPT و Gemini لتحسين قدراتهم الهجومية الإلكترونية. يمثل هذا اتجاهاً ناشئاً حيث تعتمد المج…
rss:The Hacker News
—
00:56 KSA
ثغرة حرجة في Gogs تسمح لأي مستخدم مصرح له بتنفيذ أكواد عشوائية
تم الكشف عن ثغرة حرجة في خدمة Gogs للتحكم بالإصدارات تسمح للمستخدمين المصرحين بتنفيذ أكواد عشوائية برقم خطورة 9.4 على مقياس CVSS. تشكل هذه الثغرة خطراً كبيراً على المنظمات التي تستخدم خوادم Gogs ذاتي
rss:CISA Advisories
—
00:56 KSA
برنامج Schneider Electric EcoStruxure Machine Expert HVAC
ثغرة في برنامج Schneider Electric EcoStruxure Machine Expert HVAC المستخدم في التحكم بأجهزة Modicon M171-M172 قد تسمح للمهاجمين باختراق أنظمة التحكم بالتهوية والتكييف الحرجة. يؤثر هذا على البنية التحتية ل…
rss:CISA Advisories
—
00:56 KSA
مسجل بيانات الرحلة MacGregor G4e
ثغرات متعددة في مسجل بيانات الرحلة MacGregor G4e تسمح للمهاجمين بالحصول على صلاحيات المسؤول على الجهاز. تشكل هذه الثغرات خطراً حرجاً على أنظمة السفن البحرية والأمن التشغيلي.
rss:CISA Advisories
—
00:56 KSA
مسجل الفيديو الشبكي CP Plus 8 قنوات
ثغرة في تطبيق CP Plus لتسجيل الفيديو الشبكي تسمح للمهاجمين بتنفيذ برامج نصية ضارة في متصفحات المستخدمين والمسؤولين المصرح لهم. قد يؤدي الاستغلال الناجح إلى تسرب جلسات المستخدم وتنفيذ إجراءات غير مصرح بها على النظام.
rss:SecurityWeek
—
23:54 KSA
جيوردي تجمع 30 مليون دولار لمنصة أمان وحوكمة الذكاء الاصطناعي
حصلت شركة جيوردي على تمويل بقيمة 30 مليون دولار لتطوير منصة متخصصة في أمان وحوكمة الذكاء الاصطناعي، بدعم من شركات رأس مال استثماري بارزة مثل بالديرتون كابيتال وكروسبوينت كابيتال وجنرال كاتاليست وتن إل…
rss:BleepingComputer
—
23:54 KSA
المتسللون يستغلون ثغرة FortiClient EMS لنشر برامج سرقة المعلومات
يستغل المهاجمون ثغرة في نظام إدارة FortiClient Enterprise Management Server تسمح بتجاوز المصادقة (CVE-2026-35616) لتوزيع برنامج سرقة بيانات اعتماد يُدعى EKZ. تمكن هذه الثغرة من الوصول غير المصرح به…
rss:CISA Advisories
—
23:54 KSA
ثغرات الأمان في تطبيق Fourth Frontier Frontier X Mobile
يحتوي تطبيق Fourth Frontier Frontier X Mobile على ثغرات أمنية تسمح للمهاجمين بقراءة وكتابة قيم المقابض التعسفية وتعديل القراءات السريرية. قد يؤدي الاستغلال إلى السيطرة على الجهاز وإلحاق الضرر بالمرضى في بيئ…
rss:CISA Advisories
—
23:54 KSA
ثغرات الأمان في ABB Busch-Welcome 2 Wire Door Opener Actuator
يحتوي جهاز فتح الأبواب السلكي ABB Busch-Welcome 2 على ثغرات أمنية قد تسمح للمهاجمين بالوصول غير المصرح به فيزيائياً إلى المباني. قد يؤدي الاستغلال إلى تعريض أمان المباني وأنظمة التحكم في الوصول للخطر.
rss:CISA Advisories
—
23:54 KSA
ثغرات الأمان في ABB EIBPORT
أبلغت شركة ABB عن وجود ثغرات أمنية في إصدارات منتج EIBPORT مع توفر تحديثات البرامج الثابتة لحل المشاكل الأمنية المبلغ عنها بشكل خاص. قد يسمح الاستغلال الناجح للمهاجمين بالتسلل إلى الأنظمة المتأثرة.
rss:Dark Reading
—
22:44 KSA
الذكاء الاصطناعي الموكل ليس محفوفاً بالمخاطر؛ بل طريقة نشره من قبل المنظمات هي المشكلة
وكلاء الذكاء الاصطناعي لا تشكل مخاطر من التكنولوجيا نفسها، بل من طريقة نشر المنظمات لها وتكاملها مع أدوات البرمجيات الموجودة. تظهر الثغرات الأمنية عند نقاط التقاطع حيث يتفاعل …
rss:The Hacker News
—
22:44 KSA
الجهات الفاعلة الخطرة تستغل ثغرة حرجة في FortiClient EMS لنشر برنامج سرقة بيانات الاعتماد
تقوم الجهات الفاعلة الخطرة باستغلال ثغرة حرجة في خادم إدارة نقاط النهاية FortiClient EMS لنشر برنامج ضار يسرق بيانات الاعتماد عبر نقاط النهاية المُدارة. يستخدم المهاجمون ال…
rss:CISA Advisories
—
22:43 KSA
محول Jinan USR IOT Technology Limited (PUSR) USR-W610 من RS232/485 إلى Wi-Fi/Ethernet
ثغرة في محول Jinan USR IOT Technology USR-W610 تسمح للمهاجمين بالحصول على وصول المسؤول للجهاز. قد تؤدي هذه الثغرة في أجهزة إنترنت الأشياء إلى تعريض أنظمة التحكم الصناعية والبني…
rss:CISA Advisories
—
22:43 KSA
XCharge C6
ثغرة حرجة (CVSS 9.8) في أنظمة XCharge C6 تسمح للمهاجمين بالحصول على حقوق المسؤول أو تنفيذ أكواد عشوائية على الأجهزة المتأثرة. قد يؤدي ذلك إلى اختراق كامل للنظام وهجمات محتملة على سلسلة التوريد.
rss:CISA Advisories
—
22:43 KSA
كاميرات الأمان KMW CCTV
ثغرة حرجة في كاميرات الأمان KMW CCTV (الطرازات KM-IP521 و KM-IP421) تسمح للمهاجمين بالوصول غير المصرح إلى بيانات الكاميرا والإعدادات. قد يؤدي الاستغلال الناجح إلى تعريض البنية التحتية للمراقبة والبيانات المرئية الحساسة للخطر.
rss:SecurityWeek
—
21:32 KSA
خرق بيانات كارنيفال يكشف بيانات 6 ملايين شخص
كشف خرق بيانات كبير في شركة كارنيفال عن معلومات شخصية لما يقرب من 6 ملايين عميل، مما يخلق مخاطر كبيرة لسرقة الهوية. يسلط الحادث الضوء على نقاط الضعف في ممارسات حماية البيانات في قطاع السفر والضيافة. يجب على المنظمات ت…
rss:Dark Reading
—
21:32 KSA
فيروس BTMOB RAT ينتشر عبر البرازيل وأمريكا اللاتينية عبر نموذج الخدمات المدارة
ينتشر فيروس BTMOB RAT المتقدم عبر البرازيل وأمريكا اللاتينية من خلال نموذج الخدمات المدارة (MaaS) بواجهة بدون أكواد برمجية. يقلل هذا النموذج من الحواجز أمام المجرمين الإلكترونيين لنشر…
rss:BleepingComputer
—
21:32 KSA
ثغرة جديدة في Gogs تسمح للمهاجمين بتنفيذ أوامر بعيدة
ثغرة يوم الصفر في خدمة Gogs لإدارة Git تمكن المهاجمين من تنفيذ أوامر بعيدة على الخوادم المكشوفة. يشكل هذا الخلل الحرج خطراً على المنظمات التي تستخدم Gogs لإدارة التحكم بالإصدارات والأكواد المصدرية. يتطلب الأمر…
rss:SecurityWeek
—
20:18 KSA
رفع مخاطر الأمن السيبراني: الاستعداد لعصر الأنظمة الذكية المستقلة
يتطور مشهد الأمن السيبراني مع هجمات بسرعة الآلة التي تقودها الأنظمة الذكية المستقلة، مما يتطلب من مسؤولي الأمن تطوير استراتيجيات دفاعية جديدة وأساليب معالجة على نطاق واسع. يجب على المنظمات تكييف م…
rss:SecurityWeek
—
20:18 KSA
ثغرة أمنية في Gitea تعرض 30,000 نشر للهجمات
ثغرة حرجة في Gitea سمحت للمهاجمين بالوصول إلى صور الحاويات الخاصة وسحبها من 30,000 نشر، مما أدى إلى كشف الأكواد المصدرية والبيانات الاعتمادية وتفاصيل البنية التحتية. تشكل هذه الثغرة في سلسلة التوريد مخاطر شديدة على الم…
rss:SecurityWeek
—
20:18 KSA
برنامج BTMOB الضار الجديد لنظام أندرويد يمكّن السيطرة الكاملة على الجهاز
برنامج BTMOB الضار الجديد لنظام أندرويد يتم توزيعه عبر هجمات التصيد الاحتيالي ويجمع بين سرقة البيانات المالية واستخراج البيانات والوصول البعيد. يمكّن البرنامج الضار المهاجمين من تحقيق السيط…
rss:Dark Reading
—
20:18 KSA
التركيز على التأمين السيبراني: كيف يعيد تحديد المخاطر تشكيل الأمن السيبراني
تناقش المقالة كيف يفرض التأمين السيبراني على المنظمات تحديد وقياس مخاطر الأمن السيبراني بشكل أكثر دقة. وتستكشف تفاصيل التغطية التأمينية وتشرح لماذا قد يؤثر هذا الاتجاه إيجابياً على ممارس…
rss:The Hacker News
—
20:18 KSA
نشرة تهديدات اليوم: مكون أمان Claude، امتياز Azure، تجاوز MFA في Kali365، عمليات احتيال FIFA وأكثر من 15 تهديد آخر
نشرة شاملة تغطي عدة حوادث أمنية تشمل ثغرات تصعيد الامتيازات في Azure، تقنيات تجاوز المصادقة متعددة العوامل، برامج تحميل خبيثة، ومحاولات هندسة اجتما…
rss:The Hacker News
—
20:18 KSA
مايكروسوفت تنتقد الكشف العلني عن الثغرات الأمنية وسط إزالة حساب باحث على GitHub
تؤكد مايكروسوفت على أهمية الكشف المنسق عن الثغرات الأمنية، حيث تحث الباحثين على الإبلاغ الخاص عن الثغرات قبل الكشف العلني. تؤمن الشركة بضرورة إعطاء المؤسسات وقتاً كافياً لتطوير وتطبي…
rss:BleepingComputer
—
20:18 KSA
كيف يساعد نظام إدارة معلومات الأمان (SIEM) مزودي الخدمات المدارة على تقليل الضوضاء والتوقف السريع للتهديدات
يواجه مزودو الخدمات المدارة تحديات في التمييز بين التهديدات الأمنية الحقيقية والتنبيهات الكاذبة. تساعد حلول SIEM على تحسين رؤية التهديدات وتقليل إرهاق الت…
rss:Malwarebytes Lab
—
19:04 KSA
جهاز الكمبيوتر الخاص بك يحتوي على موعد نهائي للأمان في يونيو 2026
تقوم Windows بتنفيذ تحديث أمني حرج يتضمن استبدال شهادات Secure Boot القديمة بحلول يونيو 2026. قد تفقد أجهزة الكمبيوتر الأقدم التي تفشل في تطبيق هذا التحديث إمكانية الوصول إلى الحماية الأمنية المست…
rss:Malwarebytes Lab
—
19:04 KSA
كارنيفال تؤكد خرقاً في البيانات يؤثر على ما يقرب من 6 ملايين شخص
تعرضت شركة الرحلات البحرية كارنيفال لخرق بيانات كبير حيث ادعى الفاعل الضار ShinyHunters مسؤوليته عن سرقة البيانات الشخصية لحوالي 6 ملايين فرد. يمثل هذا الحادث فشلاً أمنياً آخر للشركة ويشكل مخاطر جس…
rss:SecurityWeek
—
19:04 KSA
ثغرة حرجة في FortiClient EMS يتم استغلالها في هجمات جديدة
أصدرت Fortinet تحديثات عاجلة لثغرة حرجة في FortiClient EMS تم استغلالها كهجوم يوم صفر. يُطلب من المنظمات تطبيق التصحيحات فوراً لمنع الاختراق.
rss:SecurityWeek
—
19:04 KSA
IBM و Red Hat يلتزمان بـ 5 مليارات دولار لتأمين سلاسل التوريد مفتوحة المصدر تحت مشروع Lightwell
أعلنت IBM و Red Hat عن استثمار بقيمة 5 مليارات دولار في مشروع Lightwell لتأمين سلاسل التوريد مفتوحة المصدر. يهدف المشروع إلى إصلاح الثغرات الأمنية دون تعطيل الأنظمة ا
rss:SecurityWeek
—
19:04 KSA
منصة Edamame الجديدة تهدف إلى اكتشاف وكلاء الترميز الذكي الخارجين عن السيطرة
أطلقت شركة Edamame الفرنسية منصة للتحقق من وقت التشغيل تستخدم الذكاء الاصطناعي وقياس الأداء لاكتشاف السلوك الضار في وكلاء الترميز الذكي بما في ذلك الانحراف عن النية والهجمات على سلسلة ا
rss:The Hacker News
—
19:04 KSA
تقرير جديد عن استخدام الذكاء الاصطناعي: مخاطر الذكاء الاصطناعي في المؤسسات مركزة بشدة بين مجموعة صغيرة من مستخدمي الذكاء الاصطناعي "القوى"
يكشف تقرير حالة استخدام الذكاء الاصطناعي 2026 من LayerX Security عن فجوة رؤية كبيرة في أمان الذكاء الاصطناعي بالم…
rss:BleepingComputer
—
19:04 KSA
كارنيفال كروز تؤكد خرق بيانات يؤثر على ما يقرب من 6 ملايين شخص
أكدت شركة كارنيفال كوربوريشن، أكبر مشغل خطوط رحلات بحرية في العالم، حدوث خرق بيانات يؤثر على ما يقرب من 6 ملايين شخص ادعت به عصابة ShinyHunters للابتزاز في أبريل 2026. يمثل هذا خرقاً كبيراً للبيانات …
rss:BleepingComputer
—
19:04 KSA
ندوة ويب: لماذا تستغرق حوادث الشبكة وقتاً طويلاً للحل
تواجه المنظمات صعوبات في حل الحوادث ببطء رغم القدرات السريعة على الكشف، حيث تُسبب التحقيقات والتنسيق اختناقات. تناقش الندوة كيف يمكن للأتمتة وسير العمل المدعوم بالذكاء الاصطناعي تسريع الاستجابة للحوادث وتقليل
rss:BleepingComputer
—
19:04 KSA
روماني يحصل على 5 سنوات سجن لاختراقه شبكة حكومة ولاية أوريغون
حُكم على مواطن روماني بـ 56 شهراً في السجن الفيدرالي لاختراقه شبكة حكومة ولاية أوريغون وتنفيذه هجمات إلكترونية ضد عشرات الضحايا الأمريكيين. تُظهر هذه القضية التزام جهات إنفاذ القانون بمقاضاة المجرمين …
rss:Malwarebytes Lab
—
16:36 KSA
موقع تحميل مزيف لـ ChatGPT يصيب مستخدمي Windows و Mac بالبرامج الضارة
موقع ويب احتيالي يوزع برامج ضارة خاصة بكل نظام تشغيل على مستخدمي Windows و Mac. طور المهاجمون حمولات خبيثة منفصلة مُحسَّنة لكل نظام تشغيل لزيادة معدلات العدوى بين الضحايا الذين يبحثون عن تطبيق
rss:SecurityWeek
—
16:36 KSA
جوجل تكشف عن منصة الدفاع ضد تهديدات الذكاء الاصطناعي لمكافحة الهجمات الإلكترونية المدعومة بالذكاء الاصطناعي
أطلقت جوجل منصة جديدة للدفاع ضد تهديدات الذكاء الاصطناعي تجمع بين قدرات Mandiant و Wiz و Gemini لتمكين المؤسسات من الدفاع ضد الهجمات الإلكترونية المدعومة …
rss:BleepingComputer
—
16:36 KSA
محكوم بـ 33 سنة لابتزاز جنسي استهدف 145 طفلاً
حكم على رجل كندي بـ 33 سنة سجن لتشغيله مخطط ابتزاز جنسي استمر ثماني سنوات استهدف أكثر من 145 طفلاً في جميع أنحاء الولايات المتحدة، بما في ذلك ضحايا تتراوح أعمارهم من 6 سنوات فما فوق. تسلط هذه القضية الضوء على التهديد…
rss:The Hacker News
—
15:16 KSA
JINX-0164 يستهدف شركات العملات المشفرة برسائل موظفين مزيفة وبرامج ضارة لنظام macOS
جهة تهديد موثقة حديثاً تُعرّف باسم JINX-0164 تشن حملات موجهة ضد شركات العملات المشفرة باستخدام رسائل توظيف مزيفة وبرامج ضارة مخصصة لنظام macOS لتسهيل سرقة الأصول الرقمية. تستخدم ا…
rss:Dark Reading
—
14:00 KSA
مسؤولو الأمن السيبراني في دول الشمال يتعاملون مع التهديدات السيبرانية المتزايدة بكفاءة ملحوظة
يفيد مسؤولو الأمن السيبراني في دول الشمال بأنهم، رغم التطورات في الذكاء الاصطناعي، لا يواجهون هجمات سيبرانية أكثر خطورة مقارنة بما قبل عامين. تشير النتائج إلى أن قيادات…
rss:Dark Reading
—
03:36 KSA
عصابات الفدية تظهر شخصياً لسرقة بيانات شركات المحاماة
حذرت وكالة التحقيقات الفيدرالية من أن عصابة Silent Ransom Group تستهدف شركات المحاماة من خلال هندسة اجتماعية للوصول غير المصرح به إلى الخوادم وقواعد البيانات. يجمع هذا التهديد بين هجمات الفدية والحضور الفعلي …
rss:BleepingComputer
—
03:36 KSA
برامج التعدين على بطاقات الرسومات تنتشر عبر تسميم محركات البحث وروبوتات الذكاء الاصطناعي
يقوم الفاعلون الضارون بحملة تعدين عملات مشفرة موجهة نحو أنظمة الحواسيب عالية الأداء من خلال تسميم محركات البحث والتلاعب بروبوتات الذكاء الاصطناعي. ينتشر البرنامج الضار عبر ن…
📰 أخبار الأمن السيبراني
1 مقال
السعودية والإمارات تقودان دول مجلس التعاون في تطبيق إطار موحد لحماية البيانات عبر الحدود
03:19 KSA
أعلنت المملكة العربية السعودية والإمارات العربية المتحدة عن اتفاقية تاريخية لتنسيق أنظمة حماية البيانات عبر دول مجلس التعاون الخليجي، وإنشاء أول إطار موحد لنقل البيانات عبر الحدود. تتماشى المبادرة مع …
يتم تحديث هذه النشرة تلقائياً يومياً — آخر تحديث: 28 May 2026
أرشيف الثغرات ·
التهديدات ·
الأخبار