125
ثغرة
33
تهديد
0
خبر
1
حرجة
1
CISA KEV
🛡 الثغرات الأمنية (CVE)
تؤثر هذه الثغرة على SolarWinds Serv-U وتسمح بهجمات حرمان الخدمة غير المصرح بها عبر طلبات POST مصنوعة خصيصاً. يمكن للمهاجمين إسقاط الخدمة دون الحاجة إلى بيانات اعتماد المصادقة، مما يؤثر على توفر الخدمة. تتطلب الثغرة إجراء فوري لتجنب انقطاع الخدمة.
ثغرة تجاوز المخزن المؤقت المستند إلى المكدس في جهاز التوجيه TRENDnet TEW-432BRP الإصدار 3.10B20 من خلال وظيفة formSetUrlFilter تسمح بتنفيذ أوامر بعيدة. الجهاز انتهى دعمه منذ 15 سنة ولا يتلقى تحديثات أمان من البائع. هذه الثغرة تؤثر فقط على الأجهزة القديمة التي لا تزال قيد التشغيل …
تؤثر هذه الثغرة على جهاز التوجيه TRENDnet TEW-432BRP الإصدار 3.10B20 حيث يمكن للمهاجم استغلال دالة معالجة تصفية النطاق لتجاوز المخزن المؤقت للمكدس. يمكن تنفيذ الهجوم عن بعد دون الحاجة إلى بيانات اعتماد، مما يسمح بتنفيذ أوامر تعسفية على الجهاز.
تؤثر هذه الثغرة على وحدة معالجة Zserv في Shibby Tomato، وهي نسخة قديمة من برامج موجهات الشبكة لم تعد مدعومة من قبل المطورين. يمكن استغلال الثغرة عن بعد لتنفيذ تعليمات برمجية عشوائية على الجهاز المتأثر.
تؤثر هذه الثغرة على أجهزة التوجيه Edimax BR-6478AC بالإصدار 1.23 وتسمح بتجاوز المخزن المؤقت القائم على المكدس من خلال معامل pppUserName في طلب POST. يمكن للمهاجمين البعيدين استغلال هذه الثغرة لتنفيذ أوامر تعسفية على الجهاز المتأثر.
يؤثر هذا الضعف على وظيفة معالجة طلبات QoS في جهاز التوجيه Edimax BR-6478AC حيث يمكن للمهاجمين استغلال معامل selSSID لتجاوز حدود المخزن المؤقت. يمكن للمهاجمين البعيدين تنفيذ تعليمات برمجية تعسفية بامتيازات عالية على الجهاز المتأثر.
تم اكتشاف ثغرة تجاوز مخزن مؤقت قائمة على المكدس في جهاز التوجيه TRENDnet TEW-432BRP الإصدار 3.10B20 في وظيفة formPortFw التي تتعامل مع معامل server_name. يمكن استغلال هذه الثغرة عن بعد لتنفيذ تعليمات برمجية عشوائية على الجهاز المتأثر.
ثغرة تجاوز المخزن المؤقت المستند إلى المكدس في وظيفة formSysLog بجهاز التوجيه TRENDnet TEW-432BRP الإصدار 3.10B20 تسمح بتنفيذ أوامر بعيدة. يمكن استغلال الثغرة من خلال معالجة معامل current_page بشكل خاص. الجهاز انتهت فترة دعمه منذ 15 سنة ولا يمكن إصدار تصحيحات أمنية.
تؤثر هذه الثغرة على جهاز التوجيه TRENDnet TEW-432BRP الإصدار 3.10B20 حيث يمكن للمهاجمين البعيدين استغلال معامل start_wizard في دالة formSetEnableWizard لتجاوز المخزن المؤقت المستند إلى المكدس. تم الكشف عن الاستغلال علناً والمنتج لم يعد مدعوماً من قبل البائع منذ عام 2009.
تم اكتشاف ثغرة تجاوز مخزن مؤقت قائمة على المكدس في جهاز التوجيه TRENDnet TEW-432BRP الإصدار 3.10B20 في دالة formResetStatistic. يمكن للمهاجمين البعيدين استغلال هذه الثغرة من خلال معالجة معامل status_statistic لتنفيذ تعليمات برمجية عشوائية. البائع أعلن أن المنتج انتهت فترة دعمه من…
ثغرة تجاوز المخزن المؤقت القائم على المكدس في جهاز التوجيه TRENDnet TEW-432BRP تسمح بتنفيذ كود عشوائي عن بعد من خلال معالجة غير آمنة لمعاملات وظيفة تعيين كلمة المرور. الجهاز انتهت صلاحيته منذ 15 سنة ولا يتلقى أي تحديثات أمان من البائع. يمكن استغلال هذه الثغرة بسهولة لأن الاستغلال…
يؤثر هذا الضعف على وظيفة formUSBAccount في جهاز التوجيه Edimax BR-6478AC الإصدار 1.23، حيث يمكن لمهاجم بعيد استغلال تجاوز المخزن المؤقت من خلال معاملات اسم المستخدم أو كلمة المرور الضارة. تم الكشف عن هذه الثغرة علنًا، مما يزيد من خطر الاستغلال الفوري من قبل الجهات الفاعلة الضارة.
ثغرة تجاوز المخزن المؤقت في جهاز التوجيه Edimax BR-6478AC الإصدار 1.23 تؤثر على معالج طلبات POST في وظيفة formUSBFolder. يمكن للمهاجمين استغلال هذه الثغرة عن بعد من خلال معالجات ShareName أو SelectName الضارة لتنفيذ تعليمات برمجية عشوائية.
تؤثر هذه الثغرة على جهاز التوجيه Edimax BR-6478AC الإصدار 1.23 وتسمح بتجاوز المخزن المؤقت القائم على المكدس عند معالجة معامل pppUserName في طلب POST. يمكن للمهاجمين البعيدين استغلال هذه الثغرة لتنفيذ أوامر تعسفية على الجهاز دون الحاجة إلى بيانات اعتماد.
تؤثر هذه الثغرة على وظيفة formSetWlanEncrypt في ملف /goform/formSetWlanEncrypt حيث يمكن للمهاجمين البعيدين استغلال معامل webpage لتجاوز المخزن المؤقت. تم نشر استغلال الثغرة علناً وقد لا يتوفر أي إصلاح من المورد نظراً لانتهاء دعم المنتج.
تم اكتشاف ثغرة تجاوز مخزن مؤقت قائمة على المكدس في وظيفة formSysCmd بملف /goform/formSysCmd في جهاز التوجيه TRENDnet TEW-432BRP الإصدار 3.10B20. يمكن للمهاجمين البعيدين استغلال هذه الثغرة من خلال التلاعب بمعامل submit-url لتنفيذ تعليمات برمجية عسكرية. لا يتوفر إصلاح من البائع حيث…
تؤثر هذه الثغرة على جهاز التوجيه TRENDnet TEW-432BRP الإصدار 3.10B20 حيث يمكن لمهاجم بعيد استغلال تجاوز المخزن المؤقت المستند إلى المكدس في وظيفة formWlanSetup. البائع أعلن أن المنتج انتهت فترة دعمه منذ 15 سنة ولا يمكن تطبيق إصلاحات أمنية.
تؤثر هذه الثغرة على أجهزة توجيه Tenda W12 بالإصدار 3.0.0.7(4763) حيث يمكن لمهاجم بعيد استغلال معامل staMac في دالة cgistaKickOff لتجاوز المخزن المؤقت. يسمح هذا الاستغلال بتنفيذ كود عشوائي مع امتيازات عالية أو إحداث انقطاع في الخدمة.
تؤثر هذه الثغرة على أجهزة توجيه Tenda W12 بالإصدار 3.0.0.7(4763) وتسمح بتجاوز المخزن المؤقت القائم على المكدس من خلال معامل sec في دالة cgiSysTimeInfoSet. يمكن استغلال هذه الثغرة عن بعد دون الحاجة إلى مصادقة، مما يسمح بتنفيذ كود عشوائي أو رفض الخدمة.
CVE-2026-10191
A vulnerability was determined in Tenda W12 3.0.0.7(4763). Impacted is the function cgiWifiMacFilterSet of the file /bin
15:48 KSA
A vulnerability was determined in Tenda W12 3.0.0.7(4763). Impacted is the function cgiWifiMacFilterSet of the file /bin/httpd. This manipulation of the argument wifiMacFilterSet.macList.mac causes stack-based buffer overflow. The attack can be initiated remotely. The exploit has…
CVE-2026-10192
A vulnerability was identified in Tenda W12 3.0.0.7(4763). The affected element is the function set_local_time_0 of the
15:48 KSA
A vulnerability was identified in Tenda W12 3.0.0.7(4763). The affected element is the function set_local_time_0 of the file /bin/httpd. Such manipulation of the argument Time leads to stack-based buffer overflow. The attack can be launched remotely. The exploit is publicly avail…
CVE-2026-10206
A vulnerability was detected in D-Link DI-8400 up to 16.07.26A1. This affects an unknown function of the file /dbsrv.asp
15:48 KSA
A vulnerability was detected in D-Link DI-8400 up to 16.07.26A1. This affects an unknown function of the file /dbsrv.asp. Performing a manipulation of the argument str results in stack-based buffer overflow. Remote exploitation of the attack is possible. The exploit is now public…
CVE-2026-10259
تجاوز المخزن المؤقت القائم على المكدس في H3C Magic B0 في دالة SetMobileAPInfoById
21:04 KSA
تؤثر هذه الثغرة على أجهزة H3C Magic B0 حتى الإصدار 100R002 وتتعلق بمعالجة غير آمنة للمعاملات في دالة SetMobileAPInfoById. يمكن للمهاجمين البعيدين استغلال هذا الضعف لتنفيذ كود عشوائي على الجهاز المتأثر دون الحاجة إلى بيانات اعتماد.
تؤثر هذه الثغرة على أجهزة التوجيه D-Link DI-7001 MINI وتسمح بتجاوز سعة المخزن المؤقت في المكدس عبر معامل Time في ملف /httpd_debug.asp. يمكن للمهاجمين البعيدين استغلال هذه الثغرة دون الحاجة إلى بيانات اعتماد للوصول إلى النظام وتنفيذ أكواد تعسفية.
تؤثر هذه الثغرة على واجهة برمجة تطبيقات إدارة الأصول الرقمية في HCL Digital Experience وتسمح بحقن أوامر نظام التشغيل. يمكن للمهاجمين المصرح لهم أو غير المصرح لهم تنفيذ أوامر تعسفية بامتيازات التطبيق. قد يؤدي الاستغلال إلى سرقة البيانات واختراق النظام الكامل والوصول إلى الأنظمة ال…
CVE-2026-43623
تجاوز سعة المخزن المؤقت في دالة microtar raw_to_header() عبر ملفات TAR المصنوعة
21:04 KSA
تحتوي مكتبة microtar على ثغرة تجاوز سعة المخزن المؤقت في دالة raw_to_header() حيث تستخدم دالة strcpy() غير آمنة لنسخ حقول ustar بطول 100 بايت قد تفتقد إلى إنهاء القيمة الفارغة. يمكن للمهاجمين استغلال هذه الثغرة بتوفير ملفات TAR مصنوعة بحقول غير منتهية لإفساد ذاكرة المكدس وتحقيق ت…
يحتوي Markdown Preview Enhanced على ثغرة حقن أوامر في الإصدارات السابقة للإصدار 0.8.28 حيث يتم تمرير مدخلات غير معتمدة مباشرة إلى shell دون التحقق من صحتها. يمكن لمهاجم استغلال هذه الثغرة بإنشاء ملف markdown ضار يحتوي على أوامر نظام تشغيل في سمات الرسوم البيانية أو مسارات الملفات…
تحتوي نسخ Markdown Preview Enhanced السابقة للإصدار 0.8.28 على ثغرة في معالجة كتل bitfield حيث يتم تقييم محتوى الكتلة كرمز JavaScript قابل للتنفيذ. يمكن لمهاجم استغلال هذه الثغرة بإنشاء مستند markdown ضار يؤدي إلى تنفيذ كود عشوائي على جهاز الخادم أو العميل.
CVE-2026-5411
The WP Captcha PRO (the premium version of the Advanced Google reCAPTCHA plugin, both have the same slug) plugin for Wor
03:18 KSA
The WP Captcha PRO (the premium version of the Advanced Google reCAPTCHA plugin, both have the same slug) plugin for WordPress is vulnerable to arbitrary file upload in all versions up to, and including, 5.38. This is due to a capability check in the save_ajax() function of the l…
CVE-2026-5415
The WP Captcha PRO (the premium version of the Advanced Google reCAPTCHA plugin, both have the same slug) plugin for Wor
03:18 KSA
The WP Captcha PRO (the premium version of the Advanced Google reCAPTCHA plugin, both have the same slug) plugin for WordPress is vulnerable to Authentication Bypass in all versions up to, and including, 5.38. This is due to the ajax_run_tool() AJAX handler relying solely on a no…
CVE-2026-7654
The Admin Columns plugin for WordPress is vulnerable to PHP Object Injection leading to Remote Code Execution in version
03:18 KSA
The Admin Columns plugin for WordPress is vulnerable to PHP Object Injection leading to Remote Code Execution in versions up to and including 7.0.18. This is due to the use of `unserialize()` without an `allowed_classes` restriction in the `IdsToCollection::get_ids_from_string()`…
CVE-2026-7770
ثغرة تنفيذ كود بعيد في IBM i Access Client Solutions عبر تكوين IBM i Navigator
21:04 KSA
ثغرة في IBM i Access Client Solutions تسمح بتنفيذ كود بعيد عندما يكون النظام مُعداً للاستماع لطلبات IBM i Navigator. تؤثر الثغرة على الإصدارات من 1.1.5.0 إلى 1.1.9.12 وتتطلب ترقية فورية.
تفشل نسخة 2.1.7 من عميل LDAP في التحقق من أن شهادة خادم TLS تطابق اسم المضيف المقصود، على الرغم من التحقق من سلسلة الشهادات مقابل سلطة موثوقة. يسمح هذا النقص في التحقق من هوية نقطة النهاية لشهادة صحيحة صادرة لمضيف غير ذي صلة بأن يتم قبولها بشكل غير صحيح. يتطلب الاستغلال قدرات MIT…
تؤثر هذه الثغرة على نظام OpenCATS للتوظيف والموارد البشرية، مما يسمح للمستخدمين المصرحين بتنفيذ هجمات حقن SQL عبر معامل sortDirection. يمكن للمهاجمين استخراج بيانات حساسة من قاعدة البيانات بما في ذلك بيانات المرشحين والموظفين والمعلومات السرية للشركة. الهجوم يتطلب المصادقة لكنه ي…
تؤثر هذه الثغرة على مكون المصادقة الموحدة SAML في IBM WebSphere حيث يفشل النظام في التحقق الصحيح من البيانات المسلسلة. يمكن للمهاجمين استخدام سلاسل gadget مناسبة لتنفيذ أوامر تعسفية على الخادم. الثغرة تتطلب إرسال طلب HTTP مصنوع بعناية لتفعيلها.
ثغرة حقن SQL في Yot CMS 3.3.1 تسمح للمهاجمين غير المصرح لهم بتنفيذ استعلامات SQL عشوائية من خلال معاملات GET في aid و cid. يمكن للمهاجمين استخراج معلومات حساسة من قاعدة البيانات بما في ذلك أسماء الجداول والأعمدة والبيانات الشخصية.
ثغرة حقن SQL في Paroiciel 11.20 تسمح للمهاجمين غير المصرحين بتنفيذ استعلامات SQL عشوائية عبر معامل tRecIdListe. يمكن للمهاجمين استخراج معلومات حساسة من قاعدة البيانات بما في ذلك أسماء الجداول والأعمدة والبيانات الشخصية. الثغرة تتطلب فقط إرسال طلب GET مصمم إلى نقطة النهاية trec.ph…
تحتوي ثغرة اجتياز المسار هذه على معالجات Gradio في F5-TTS التي تفشل في التحقق من صحة أسماء المشاريع المزودة من قبل المستخدم قبل استخدامها في os.path.join(). يمكن للمهاجمين توفير مسارات مطلقة مثل /tmp/EVIL لتجاوز الدليل الأساسي وإنشاء ملفات JSON ضارة في أي موقع قابل للكتابة. هذا ي…
تؤثر هذه الثغرة على نظام OpenCATS المستخدم في إدارة المرشحين والموارد البشرية. يمكن للمهاجمين المصرحين استغلال معالجة المرشحات غير الآمنة لتنفيذ استعلامات SQL عشوائية والوصول إلى بيانات حساسة. الثغرة تتطلب مصادقة لكن تسمح بتجاوز القيود الأمنية على الأعمدة.
CVE-2025-14773
Improper neutralization of input during web page generation ('cross-site scripting') vulnerability in ABB T-MAC Plus.
T
03:32 KSA
Improper neutralization of input during web page generation ('cross-site scripting') vulnerability in ABB T-MAC Plus.
This issue affects T-MAC Plus: 4.0-24.
CVE-2026-33245
React Router is a router for React. In versions 7.7.0 through 7.13.1, when using React Router's unstable React Server Co
03:32 KSA
React Router is a router for React. In versions 7.7.0 through 7.13.1, when using React Router's unstable React Server Components (RSC) APIs, there is a potential client-side Cross-Site Scripting (XSS) vulnerability in the RSC redirect handling if redirects come from untrusted sou…
تتعلق الثغرة بمعالجة البيانات المسلسلة غير الموثوقة في Microsoft Office SharePoint، مما يسمح للمهاجمين المصرحين بتنفيذ أوامر عشوائية على الخادم. يمكن استغلال هذه الثغرة للوصول غير المصرح به والتحكم الكامل بأنظمة SharePoint المتأثرة.
CVE-2026-0072
ثغرة تصعيد الامتيازات في خدمة إدارة طرق الإدخال بنظام أندرويد بسبب فقدان التحقق من الأذونات
21:04 KSA
هذه الثغرة تؤثر على خدمة إدارة طرق الإدخال في نظام أندرويد وتسمح بتصعيد الامتيازات المحلية دون الحاجة إلى أذونات إضافية أو تفاعل المستخدم. يمكن للمهاجمين استغلال هذا الضعف للوصول إلى موارد النظام المحمية والتحكم فيها.
ثغرة تجاوز عدد صحيح في مكتبة Poppler تؤثر على وحدة Splash backend عند معالجة أنماط التعبئة في ملفات PDF. يمكن لمهاجم بعيد إنشاء ملف PDF ضار يؤدي إلى تخصيص ذاكرة heap غير كافي وكتابة خارج الحدود. قد ينتج عن ذلك تنفيذ كود عشوائي أو تسرب معلومات أو توقف الخدمة.
CVE-2026-11332
A flaw was found in ansible-core. The ansible-galaxy role install command processes dependency specifications from a rol
03:16 KSA
A flaw was found in ansible-core. The ansible-galaxy role install command processes dependency specifications from a role's meta/requirements.yml file. Due to improper neutralization of argument delimiters, a malicious role author can inject arbitrary git configuration flags thro…
CVE-2026-21029
Improper export of android application components in Galaxy Editing Service prior to SMR Jun-2026 Release 1 allows local
03:16 KSA
Improper export of android application components in Galaxy Editing Service prior to SMR Jun-2026 Release 1 allows local attacker to execute privileged operations.
تتعلق هذه الثغرة بعدم كفاية التحكم بالوصول في طبقة MediaTek Audio HAL التي تسمح للمهاجمين المحليين بتجاوز قيود الأمان. يمكن للمهاجمين استدعاء وظائف مميزة دون التفويض المناسب، مما قد يؤدي إلى تصعيد الامتيازات والتحكم غير المصرح به بموارد النظام.
تحتوي نسخ AppBlock السابقة للإصدار SMR يونيو 2026 على ثغرة في التفويض غير الصحيح تسمح للمهاجمين المحليين بتنفيذ أنشطة عشوائية. تتطلب الثغرة تفاعل المستخدم لتفعيلها. درجة CVSS 7.8 تشير إلى خطورة عالية مع احتمالية اختراق النظام بشكل كبير.
يوجد ثغرة تجاوز مخزن مؤقت قائمة على المكدس في مكون rrdcached من rrdtool. يمكن للمهاجم المحلي الذي لديه وصول إلى مقبس rrdcached استغلال هذه الثغرة بإرسال طلب CREATE بحجم زائد. قد يؤدي هذا إلى إيقاف الخدمة أو تنفيذ أكواد عشوائية مما يؤثر على سلامة وسرية البيانات.
تم اكتشاف ثغرة تجاوز المخزن المؤقت في الذاكرة العميقة (Stack) في خادم X.Org وXwayland بسبب عدم توافق بين حجم المخزن المؤقت المخصص (256 بايت) والحد الأقصى لطول اسم الخط في مكتبة libXfont2 (1024 بايت). يمكن للمهاجمين استغلال هذه الثغرة بتوفير أسماء بدائل خطوط بطول يتراوح بين 257 و1…
CVE-2026-50257
ثغرة استخدام الذاكرة بعد التحرير في خادم X.Org X في دالة miSyncDestroyFence()
03:16 KSA
تم اكتشاف ثغرة استخدام الذاكرة بعد التحرير في دالة miSyncDestroyFence() في خادم X.Org X و Xwayland. يمكن لمهاجم محلي استغلال هذه الثغرة من خلال إنشاء عدة اتصالات عميل لتعيين وتدمير حواجز المزامنة، مما يؤدي إلى استدعاء مؤشر دالة غير صحيح. قد يؤدي هذا إلى توقف الخادم أو تصعيد الامت…
تم اكتشاف ثغرة تجاوز المخزن المؤقت في الذاكرة المكدسة في خادم X.Org وXwayland حيث تفشل وظيفة CheckKeyTypes() في التحقق من صحة مستويات التحول في أنواع المفاتيح. يمكن للعملاء تغيير أنواع المفاتيح إلى مستويات تحول مفرطة وتفعيل تجاوزات المخزن المؤقت. هذه الثغرة قد تؤدي إلى توقف الخاد…
CVE-2026-50259
A stack-based buffer overflow flaw was found in the X.Org X server and Xwayland. _XkbSetMapChecks() declares a fixed-siz
03:16 KSA
A stack-based buffer overflow flaw was found in the X.Org X server and Xwayland. _XkbSetMapChecks() declares a fixed-size stack buffer mapWidths[256] indexed by key type index. The helper function CheckKeyTypes() writes to this buffer at a client-controlled offset, allowing a sta…
CVE-2026-50260
A use-after-free flaw was found in the X.Org X server and Xwayland in FreeCounter(). A client that sets up multiple Sync
03:16 KSA
A use-after-free flaw was found in the X.Org X server and Xwayland in FreeCounter(). A client that sets up multiple SyncCounters and awaits on those triggers can trigger a use-after-free when destroying those counters via a second client connection. This may be used to crash the …
CVE-2026-50261
A use-after-free flaw was found in the X.Org X server and Xwayland in SyncChangeCounter(). A client that sets up multipl
03:16 KSA
A use-after-free flaw was found in the X.Org X server and Xwayland in SyncChangeCounter(). A client that sets up multiple SyncCounters can trigger a use-after-free when destroying those counters via a second client connection while changing those counters. This may be used to cra…
CVE-2026-50264
An out-of-bounds write flaw was found in the X.Org X server and Xwayland in DRIGetBuffers/DRIGetBuffersWithFormat. A cli
03:16 KSA
An out-of-bounds write flaw was found in the X.Org X server and Xwayland in DRIGetBuffers/DRIGetBuffersWithFormat. A client that requests multiple DRI2BufferBackLeft attachments and one DRI2BufferFrontLeft can trigger an out-of-bounds heap write. This may be used to crash the ser…
WinMTR 0.91 يعاني من ثغرة تجاوز المخزن المؤقت التي يمكن استغلالها لإحداث حالة حجب الخدمة. يحدث الضعف عند معالجة ملفات الحمل المشوهة التي تحتوي على بيانات متكررة بحجم محدد. يمكن للمهاجمين إيقاف التطبيق وتعطيل عمليات المراقبة والتشخيص.
تحتوي وظيفة generate_image() في خدمة Banana Slides الخلفية على ثغرة اجتياز مسار تسمح بقراءة ملفات الصور التعسفية خارج دليل التحميلات المقصود. يستغل المهاجمون عدم اكتمال فحص بادئة المسار الذي يستخدم os.path.startswith() بدون فاصل زائدة، مما يسمح بالوصول إلى الملفات من خلال مراجع m…
CVE-2026-10167
A weakness has been identified in OUSL-GROUP-BrinaryBrains School Student Management System up to 1e70e5ad1125b86dca4ee0
03:16 KSA
A weakness has been identified in OUSL-GROUP-BrinaryBrains School Student Management System up to 1e70e5ad1125b86dca4ee086eb6bb121f17708b6. This impacts the function sign_auth_cookie of the file application/controllers/Login.php of the component MY_Controller. Executing a manipul…
CVE-2026-10178
A vulnerability was detected in code-projects Online Music Site 1.0. This vulnerability affects unknown code of the file
20:00 KSA
A vulnerability was detected in code-projects Online Music Site 1.0. This vulnerability affects unknown code of the file /Administrator/PHP/AdminEditAlbum.php. The manipulation of the argument ID results in sql injection. The attack may be performed from remote. The exploit is no…
ثغرة SQL injection في نظام إدارة سجلات المرضى تسمح بمعالجة معامل ID بطريقة غير آمنة في ملف /classes/Users.php. يمكن للمهاجمين استغلال هذه الثغرة للوصول غير المصرح به إلى بيانات المرضى الحساسة وتعديلها أو حذفها. تم الكشف عن هذه الثغرة علنًا مما يزيد من خطر استغلالها.
ثغرة حقن SQL في نظام إدارة سجلات المرضى من SourceCodester تسمح للمهاجمين بتعديل معامل ID في ملف /classes/Users.php للتلاعب باستعلامات SQL. يمكن استغلال هذه الضعف عن بعد دون الحاجة إلى مصادقة، مما يهدد سرية وسلامة بيانات المرضى الحساسة.
يؤثر هذا الثغر على نظام إدارة المستشفيات عبر الإنترنت من خلال معامل editid في ملف patient.php، مما يسمح بحقن أوامر SQL ضارة. يمكن للمهاجمين البعيدين استغلال هذه الثغرة المكشوفة علناً للوصول إلى بيانات المرضى الحساسة وتعديلها أو حذفها.
CVE-2026-10208
A flaw has been found in code-projects Online Hospital Management System 1.php. This impacts the function login_user of
15:48 KSA
A flaw has been found in code-projects Online Hospital Management System 1.php. This impacts the function login_user of the file login_1.php. Executing a manipulation of the argument Username can lead to sql injection. The attack can be executed remotely. The exploit has been pub…
CVE-2026-10214
A weakness has been identified in zhayujie chatgpt-on-wechat up to 2.0.8. This issue affects the function _get_safety_wa
15:48 KSA
A weakness has been identified in zhayujie chatgpt-on-wechat up to 2.0.8. This issue affects the function _get_safety_warning of the file agent/tools/bash/bash.py of the component Bash Tool. Executing a manipulation can lead to os command injection. The attack can be launched rem…
تم اكتشاف ثغرة حقن أوامر نظام التشغيل في مكون FsBridge.WriteFile بمنتج GoClaw. تسمح هذه الثغرة للمهاجمين البعيدين بتنفيذ أوامر نظام تشغيل عشوائية من خلال معالجة غير آمنة للمدخلات. تم الإفصاح العام عن الثغرة وتوفر استغلال عملي لها.
ثغرة حقن أكواد في ملف tools/skills_tool.py بدالة _serve_plugin_skill/skill_view تسمح بتنفيذ أكواد عشوائية عن بعد. الثغرة موجودة في جميع إصدارات NousResearch hermes-agent حتى 2026.4.30 والبائع لم يستجب للإفصاح المبكر عنها.
ثغرة حقن SQL في مكون تسجيل الدخول (login_check.php) لنظام إدارة الطلاب القائم على PHP تسمح للمهاجمين بمعالجة معامل اسم المستخدم لتنفيذ أوامر SQL عشوائية. الثغرة قابلة للاستغلال عن بعد وتم نشر استغلالات عامة لها. النظام يستخدم نموذج الإصدار المتدحرج ولم يستجب المشروع للإبلاغ عن ال…
يؤثر هذا الضعف على نظام إدارة الطلاب المكتوب بلغة PHP ويسمح بحقن أوامر SQL من خلال معاملات متعددة في ملف delete.php. يمكن للمهاجمين الوصول عن بعد إلى قاعدة البيانات والتلاعب بالبيانات الحساسة المتعلقة بالطلاب والمعلمين والدورات.
تؤثر هذه الثغرة على نقطة نهاية إدارة المستخدمين في ملف /classes/Users.php حيث يمكن للمهاجمين تجاوز آليات التفويض. الهجوم يمكن تنفيذه عن بعد ويتطلب معرفة محدودة بالنظام. تم الكشف عن الثغرة علناً مما يزيد من خطر الاستغلال الفوري.
يتعلق هذا الضعف بفشل في آلية المصادقة في نقاط نهاية المسؤول بنظام المواقف الذكية الإصدار 1.0. يمكن للمهاجمين الوصول إلى وظائف إدارية حساسة دون تقديم بيانات اعتماد صحيحة من خلال طلبات بعيدة. الكشف العلني عن الثغرة يزيد من احتمالية استغلالها بشكل واسع.
ثغرة حقن SQL في نظام إدارة بنك الدم عبر الإنترنت من itsourcecode الإصدار 1.0 تؤثر على ملف /admin/viewrequest.php. يمكن للمهاجمين البعيدين استغلال معامل ID لتنفيذ استعلامات SQL عشوائية والوصول إلى بيانات حساسة. الاستغلال متاح علنًا مما يزيد من خطر الهجمات الفعلية.
يؤثر هذا الثغر على نظام إدارة بنك الدم عبر الإنترنت من itsourcecode الإصدار 1.0 من خلال معامل hospital في ملف /admin/campsdetails.php. يمكن للمهاجمين البعيدين استغلال هذه الثغرة للوصول إلى بيانات بنك الدم الحساسة أو تعديلها دون تصريح. تم الإفراج عن الاستغلال علناً مما يزيد من خطر…
تم اكتشاف ثغرة حقن SQL في نظام تأجير المنازل عبر الإنترنت من itsourcecode الإصدار 1.0 في ملف /ajax.php حيث يمكن التلاعب بمعامل Username لتنفيذ استعلامات قاعدة بيانات عشوائية. يمكن للمهاجمين البعيدين استغلال هذه الثغرة المعروفة علناً للوصول غير المصرح به إلى البيانات أو تعديلها.
CVE-2026-10252
A security vulnerability has been detected in itsourcecode Online House Rental System 1.0. This affects an unknown funct
21:04 KSA
A security vulnerability has been detected in itsourcecode Online House Rental System 1.0. This affects an unknown function of the file /manage_tenant.php. The manipulation of the argument ID leads to sql injection. It is possible to initiate the attack remotely. The exploit has …
CVE-2026-10253
A vulnerability was detected in itsourcecode Online House Rental System 1.0. This impacts an unknown function of the fil
21:04 KSA
A vulnerability was detected in itsourcecode Online House Rental System 1.0. This impacts an unknown function of the file /manage_payment.php. The manipulation of the argument ID results in sql injection. It is possible to launch the attack remotely. The exploit is now public and…
CVE-2026-10260
A vulnerability was detected in CodeAstro Online Job Portal 1.0. The impacted element is an unknown function of the file
21:04 KSA
A vulnerability was detected in CodeAstro Online Job Portal 1.0. The impacted element is an unknown function of the file /admin/jobs-admins/delete-jobs.php. Performing a manipulation of the argument ID results in sql injection. It is possible to initiate the attack remotely. The …
CVE-2026-10261
A flaw has been found in CodeAstro Online Job Portal 1.0. This affects an unknown function of the file /users/applicatio
21:04 KSA
A flaw has been found in CodeAstro Online Job Portal 1.0. This affects an unknown function of the file /users/application_status.php. Executing a manipulation of the argument ID can lead to sql injection. It is possible to launch the attack remotely. The exploit has been publishe…
CVE-2026-10262
A vulnerability has been found in code-projects Real State Services 1.0. This impacts an unknown function of the file /l
21:04 KSA
A vulnerability has been found in code-projects Real State Services 1.0. This impacts an unknown function of the file /loginuser.php of the component Login. The manipulation of the argument Username leads to sql injection. The attack can be initiated remotely. The exploit has bee…
تم اكتشاف ثغرة حقن SQL في نظام إدارة متجر إصلاح الحاسوب من SourceCodester الإصدار 1.0 في ملف /admin/products/manage_product.php. يمكن للمهاجمين البعيدين استغلال معامل معرّف المنتج لتنفيذ استعلامات SQL عشوائية والوصول إلى بيانات حساسة. تم الكشف عن هذه الثغرة علناً مما يزيد من خطر …
CVE-2026-10280
ثغرة طلب الخادم من جانب الخادم في نقطة نهاية استدعاء MCP في horizon921 mcpilot
21:04 KSA
ثغرة طلب الخادم من جانب الخادم (SSRF) موجودة في مكون نقطة نهاية استدعاء MCP في horizon921 mcpilot الإصدار 0.1.0. يمكن للمهاجمين البعيدين استغلال هذه الثغرة بمعالجة معامل serverBaseUrl لتنفيذ طلبات غير مصرح بها. تم الإفراج عن استغلال عام للثغرة ولم يستجب المشروع للإبلاغ عنها.
CVE-2026-10281
نقص المصادقة في واجهة برمجة تطبيقات Enderfga claw-orchestrator EmbeddedServer
21:04 KSA
ثغرة CVE-2026-10281 تمثل نقص في آلية المصادقة في مكون EmbeddedServer بملف src/embedded-server.ts في Enderfga claw-orchestrator حتى الإصدار 3.5.5. يمكن للمهاجمين البعيدين استغلال هذه الثغرة للوصول غير المصرح به إلى نقطة نهاية API دون توفير بيانات اعتماد صحيحة. تم إتاحة الاستغلال ل…
ثغرة Server-Side Request Forgery في SourceCodester SEO Meta Tag Extractor 1.0 تسمح للمهاجمين بمعالجة معامل URL في دالة get_headers بملف /index.php. يمكن للمهاجمين البعيدين استخدام هذه الثغرة للوصول إلى الموارد الداخلية أو تنفيذ طلبات HTTP من جانب الخادم. تم الكشف عن الثغرة علناً …
تؤثر هذه الثغرة على وظيفة التحقق من كلمة المرور في ملف /admin/login.php في نظام حجز الفنادق والسياحة الإصدار 1.0. يمكن للمهاجمين استغلال هذا الضعف للوصول غير المصرح به إلى لوحة تحكم المسؤول من خلال التلاعب بمعاملات المصادقة. توجد استكشافات عامة متاحة مما يزيد من خطورة الثغرة.
ثغرة حقن SQL في ملف /admin/login.php بنظام حجز تذاكر العبّارات من SourceCodester تسمح للمهاجمين بالتلاعب بمعامل اسم المستخدم للوصول غير المصرح إلى قاعدة البيانات. يمكن تنفيذ الهجوم عن بعد وقد تم الكشف عن الاستغلال علناً.
يوجد ثغرة حقن SQL في نظام إدارة الكليات من tittuvarghese تؤثر على ملف dashboard_page/forms/fetch.php حيث يمكن للمهاجمين التلاعب بمعامل department_code لتنفيذ استعلامات SQL ضارة. الثغرة قابلة للاستغلال عن بعد وتتمتع باستغلالات عامة متاحة، مما يشكل خطراً فوري على المؤسسات التعليمية…
يوجد ثغرة حقن SQL في نظام حجز الفنادق والسياحة الإصدار 1.0 في ملف /details.php حيث يمكن التلاعب بمعامل الغرفة لتنفيذ استعلامات SQL ضارة. الثغرة قابلة للاستغلال عن بعد بدون الحاجة إلى مصادقة وتم الكشف عنها علنًا. قد يؤدي الاستغلال إلى الوصول غير المصرح به إلى بيانات قاعدة البيانات…
تم اكتشاف ثغرة في نظام إدارة المركبات الإصدار 1.0 تسمح بتحميل ملفات غير مقيدة من خلال معامل الصورة في نموذج تسجيل السائق الجديد. يمكن للمهاجمين البعيدين استغلال هذه الثغرة لتحميل ملفات ضارة وتنفيذ أكواد عشوائية على الخادم.
ثغرة Server-Side Request Forgery في مكون Gutenberg Essential Blocks تسمح للمهاجمين المصرحين بمستوى المؤلف بإرسال طلبات ويب تعسفية من خادم الويب. يمكن استخدام هذه الثغرة للوصول إلى الخدمات الداخلية وتعديل المعلومات الحساسة. التأثير يشمل الوصول غير المصرح به إلى الموارد الداخلية وا…
يحتوي خادم Lyrion Music Server 9.2.0 على ثغرة XSS مخزنة في وحدة عارض السجلات تسمح بحقن نصوص برمجية ضارة دون الحاجة إلى المصادقة. يمكن للمهاجمين استغلال معاملات الاستعلام غير المشفرة وبيانات رؤوس HTTP والعناوين المسجلة لتنفيذ أكواد عشوائية في جلسات المستخدمين.
ثغرة في تطبيق Samsung Assistant تتعلق بتصدير غير صحيح لمكون SmartHomeWidgetReceiver. يمكن للمهاجمين المحليين استغلال هذه الثغرة لتنفيذ نصوص برمجية عشوائية على الجهاز. التحديث إلى الإصدار 9.3.14 أو أحدث يعالج هذه المشكلة الأمنية.
يتعلق الضعف بمعالج ExpressHomeWidgetReceiver في تطبيق Samsung Assistant الذي يتم تصديره بشكل غير صحيح، مما يسمح للمهاجمين المحليين بتنفيذ رمز عشوائي. يتطلب هذا الهجوم وصولاً فعلياً إلى الجهاز أو تطبيقاً ضار مثبتاً محلياً. التحديث إلى الإصدار 9.3.14 يصحح هذه المشكلة.
CVE-2026-8035
Improper input validation in the NI-PAL kernel driver may allow a local authenticated user to cause a denial of service
23:16 KSA
Improper input validation in the NI-PAL kernel driver may allow a local authenticated user to cause a denial of service by triggering a crash due to a NULL pointer dereference. This vulnerability affects NI-PAL 26.3.0 and prior versions on Windows and Linux.
CVE-2026-50206
Incoming VPN network profile settings fail to process special characters safely, enabling command injection via maliciou
03:32 KSA
Incoming VPN network profile settings fail to process special characters safely, enabling command injection via malicious config files.
CVE-2026-11322
Hermes WebUI prior to v0.51.221 contains a path traversal vulnerability that allows attackers to escape the workspace bo
06:00 KSA
Hermes WebUI prior to v0.51.221 contains a path traversal vulnerability that allows attackers to escape the workspace boundary by supplying symlinks that resolve to files or directories outside the designated workspace root. Attackers can exploit the workspace file and listing AP…
تحتوي كاميرا TP-Link Tapo C200 الإصدار 5 على ثغرة تجاوز سعة المكدس في معالج مصادقة بروتوكول RTSP بسبب عدم التحقق الصحيح من طول حقل رأس Authorization. يمكن استغلال هذه الثغرة من خلال إرسال طلب مصادقة مصنع يؤدي إلى توقف خدمة RTSP وإعادة تشغيل النظام تلقائياً.
CVE-2026-42824
Improper neutralization of special elements used in a command ('command injection') in M365 Copilot allows an unauthoriz
06:00 KSA
Improper neutralization of special elements used in a command ('command injection') in M365 Copilot allows an unauthorized attacker to disclose information over a network.
CVE-2026-47644
Improper neutralization of special elements in output used by a downstream component ('injection') in Copilot Chat (Micr
06:00 KSA
Improper neutralization of special elements in output used by a downstream component ('injection') in Copilot Chat (Microsoft Edge) allows an unauthorized attacker to disclose information over a network.
CVE-2026-47655
Exposure of sensitive information to an unauthorized actor in Microsoft Graph allows an authorized attacker to disclose
06:00 KSA
Exposure of sensitive information to an unauthorized actor in Microsoft Graph allows an authorized attacker to disclose information over a network.
تحتوي وحدات التصحيح المتبقية على بيانات اعتماد ثابتة لصناديق اختبار AWS Cognito الداخلية، مما يسمح بالوصول غير المصرح به إلى الموارد الحساسة. يمكن للمهاجمين استخدام هذه البيانات للالتفاف حول آليات المصادقة والوصول إلى الأصول الداخلية.
CVE-2026-50212
ضعف التحقق في واجهات برمجية لفصل الأجهزة يسمح بفصل نقاط النهاية غير المصرح بها
03:32 KSA
يسمح هذا الثغرة بفصل غير مصرح به للأجهزة المرتبطة بالمستخدمين من خلال استدعاءات واجهة برمجية ضعيفة التحقق. يمكن للمهاجمين البعيدين استغلال هذا الضعف لإيقاف خدمات المستخدمين وإحداث انقطاع في الخدمة. التأثير الرئيسي هو إنكار الخدمة على نطاق واسع للمستخدمين المتأثرين.
CVE-2026-10874
A vulnerability was identified in projectworlds Online Art Gallery Shop Project 1.0. The affected element is an unknown
06:00 KSA
A vulnerability was identified in projectworlds Online Art Gallery Shop Project 1.0. The affected element is an unknown function of the file /admin/adminHome.php. The manipulation of the argument social_insta leads to sql injection. The attack may be initiated remotely. The explo…
CVE-2026-10875
A security flaw has been discovered in projectworlds Online Art Gallery Shop Project 1.0. The impacted element is an unk
06:00 KSA
A security flaw has been discovered in projectworlds Online Art Gallery Shop Project 1.0. The impacted element is an unknown function of the file /admin/adminHome.ph. The manipulation of the argument social_twitter results in sql injection. The attack may be launched remotely. Th…
CVE-2026-10876
A weakness has been identified in SourceCodester Ship Ferry Ticket Reservation System 1.0. This affects an unknown funct
07:18 KSA
A weakness has been identified in SourceCodester Ship Ferry Ticket Reservation System 1.0. This affects an unknown function of the file /admin/. This manipulation of the argument page causes improper authorization. Remote exploitation of the attack is possible. The exploit has be…
CVE-2026-10878
A vulnerability was detected in D-Link DWR-M920 1.1.50/1.1.70. Affected is the function sub_41C8E8 of the file /boafrm/f
07:18 KSA
A vulnerability was detected in D-Link DWR-M920 1.1.50/1.1.70. Affected is the function sub_41C8E8 of the file /boafrm/formSmsManage. Performing a manipulation of the argument action_value results in command injection. The attack is possible to be carried out remotely. The exploi…
CVE-2026-11333
A security vulnerability has been detected in tittuvarghese CollegeManagementSystem 3e476335cfbfb9a049e09f474c7ec885f69a
23:16 KSA
A security vulnerability has been detected in tittuvarghese CollegeManagementSystem 3e476335cfbfb9a049e09f474c7ec885f69a9df3/a38852979f7e27ae67b610dce5979500ef8ebe01. The impacted element is an unknown function of the file dashboard_page/forms/upload_student_data.php of the compo…
CVE-2026-11335
A flaw has been found in tittuvarghese CollegeManagementSystem 3e476335cfbfb9a049e09f474c7ec885f69a9df3/a38852979f7e27ae
23:16 KSA
A flaw has been found in tittuvarghese CollegeManagementSystem 3e476335cfbfb9a049e09f474c7ec885f69a9df3/a38852979f7e27ae67b610dce5979500ef8ebe01. This impacts the function session_start of the file /login-form.php. Executing a manipulation of the argument UserAuthData can lead to…
CVE-2026-11336
A vulnerability has been found in tittuvarghese CollegeManagementSystem 3e476335cfbfb9a049e09f474c7ec885f69a9df3/a388529
23:16 KSA
A vulnerability has been found in tittuvarghese CollegeManagementSystem 3e476335cfbfb9a049e09f474c7ec885f69a9df3/a38852979f7e27ae67b610dce5979500ef8ebe01. Affected is an unknown function of the file dashboard_page/admin_page.php of the component Admin Interface. The manipulation …
CVE-2026-11339
A vulnerability was detected in D-Link DWR-M920 up to 1.1.50. The affected element is the function sub_41CF20 of the fil
01:36 KSA
A vulnerability was detected in D-Link DWR-M920 up to 1.1.50. The affected element is the function sub_41CF20 of the file /boafrm/formUSSDSetup. The manipulation of the argument ussdValue results in command injection. It is possible to launch the attack remotely. The exploit is n…
CVE-2026-11341
A flaw has been found in D-Link DWR-M920 up to 1.1.50. The impacted element is the function sub_412DA0 of the file /boaf
01:36 KSA
A flaw has been found in D-Link DWR-M920 up to 1.1.50. The impacted element is the function sub_412DA0 of the file /boafrm/formIMEISetup. This manipulation of the argument IMEI_value causes os command injection. The attack can be initiated remotely. The exploit has been published…
CVE-2026-7299
ثغرة XSS في محرر SQL بـ Appsmith عبر أسماء كائنات قاعدة البيانات غير المعقمة
03:32 KSA
تفشل وظيفة الإكمال التلقائي في محرر استعلامات SQL بـ Appsmith في تعقيم أسماء كائنات قاعدة البيانات قبل عرضها في innerHTML. يمكن لمطور مصرح له بإدخال XSS مستمر من خلال أسماء جداول أو أعمدة ضارة. يؤدي هذا إلى تنفيذ كود تعسفي في جلسات أعضاء مساحة العمل الآخرين عند تفاعلهم مع نفس مصد…
CVE-2026-35212
OpenCTI is an open source platform for managing cyber threat intelligence knowledge and observables. Versions prior to 7
19:17 KSA
OpenCTI is an open source platform for managing cyber threat intelligence knowledge and observables. Versions prior to 7.260227.0 are vulnerable to XSS in the rendering of email-message observable body data. The content of the body field isn't appropriately sanitized when being r…
CVE-2026-40181
ثغرة إعادة التوجيه المفتوحة في React Router عبر عناوين URL النسبية للبروتوكول
03:32 KSA
تحتوي إصدارات React Router المتأثرة على خلل في معالجة عناوين URL التي تبدأ بشرطة مائلة مزدوجة، حيث يتم تفسيرها كعناوين نسبية للبروتوكول بدلاً من المسارات النسبية. يمكن للمهاجمين استغلال هذا الخلل لإنشاء روابط خادعة تعيد توجيه المستخدمين إلى مواقع خارجية ضارة. التطبيقات التي تستخد…
CVE-2026-41569
ثغرة إعادة التوجيه المفتوح في authentik WS-Federation عبر التحقق غير الصحيح من wreply
03:32 KSA
ثغرة في مزود WS-Federation بمنصة authentik تسمح بإعادة توجيه مفتوحة حيث يتم التحقق من معامل wreply باستخدام فحص بادئة نصية بسيط بدلاً من تحليل URL الصحيح. يمكن للمهاجم إنشاء رابط تسجيل دخول يحتوي على نطاق ضار يشبه النطاق الشرعي (مثل portal.example.com.evil.tld) لخداع المستخدمين و…
يسمح هذا الضعف للمهاجمين بحقن أكواد JavaScript عشوائية من خلال معامل البحث في نقطة نهاية server.log دون الحاجة إلى المصادقة. يمكن استخدام هذا الضعف لسرقة بيانات المستخدمين أو جلسات العمل أو تنفيذ إجراءات ضارة نيابة عن المستخدم.
يحتوي خادم Lyrion Music Server الإصدار 9.2.0 على ثغرة أمان من نوع XSS معكوسة في معاملات البحث المتقدم. تفشل الخادم في تنظيف مدخلات المستخدم بشكل صحيح قبل عرضها في نماذج البحث، مما يسمح بحقن برامج نصية ضارة. يمكن للمهاجمين استغلال هذه الثغرة لسرقة بيانات الجلسة والمعلومات الحساسة …
يتعلق هذا الثغرة بمعالجة غير صحيحة للصلاحيات في مزود SecTelephonyProvider مما يسمح للمهاجمين المحليين بتجاوز آليات الحماية. يمكن للمهاجم الوصول إلى ملفات حساسة وامتيازات النظام دون تفويض مناسب.
تتعلق هذه الثغرة بتعيين غير صحيح للامتيازات في أنظمة الهاتفية مما يسمح للمهاجمين المحليين بالوصول إلى معلومات حساسة. تؤثر الثغرة على الإصدارات السابقة لـ SMR يونيو 2026 الإصدار 1 وتتطلب وصولاً محلياً للاستغلال.
تحتوي نسخ SpriteWallpaper السابقة على خلل في تصدير مكونات Android حيث يتم كشف مكونات حساسة دون قيود كافية. يمكن للمهاجمين المحليين استغلال هذا الخلل للوصول إلى بيانات حساسة مخزنة أو معالجة بواسطة التطبيق. يتطلب الاستغلال وصول فعلي أو محلي إلى الجهاز.
تؤثر هذه الثغرة على خدمة AuditLogService وتسمح للمهاجمين الذين لديهم وصول محلي بالالتفاف حول ضوابط الوصول. يمكن للمهاجمين الوصول إلى معلومات حساسة مخزنة في سجلات التدقيق. يتم حل المشكلة في إصدار SMR يونيو 2026 الإصدار 1 وما بعده.
CVE-2026-50262
An out-of-bounds read flaw was found in the X.Org X server and Xwayland in __glXDisp_ChangeDrawableAttributes(). A wrong
19:17 KSA
An out-of-bounds read flaw was found in the X.Org X server and Xwayland in __glXDisp_ChangeDrawableAttributes(). A wrong size validation check can read a client-controlled number of bytes, exceeding the request buffer, leading to information disclosure. A write path also exists b…
CVE-2026-50263
A use-after-free flaw was found in the X.Org X server and Xwayland in CreateSaverWindow(). A client can trigger a use-af
19:17 KSA
A use-after-free flaw was found in the X.Org X server and Xwayland in CreateSaverWindow(). A client can trigger a use-after-free read after changing window attributes and forcing the screen saver, leading to information disclosure.
تعاني نقطة نهاية خدمة الملخص من ثغرة IDOR حيث تفشل في التحقق من ملكية المستخدم لأرقام المسلسل للأجهزة. يمكن للمهاجمين استخدام هذه الثغرة للوصول إلى بيانات الأجهزة الحساسة والتنقيب عنها بشكل غير مصرح. هذا يؤدي إلى كشف معلومات المستخدمين والأجهزة المرتبطة بهم.
تحتوي libxls 1.6.3 على ثغرة في استخدام الذاكرة غير المهيأة عند معالجة ملفات XLS المشوهة، حيث تنشأ الذاكرة غير المهيأة من طبقة OLE (ole2_read). يمكن اكتشاف هذا الخلل باستخدام MemorySanitizer ويؤدي إلى سلوك غير محدد أو إفصاح محتمل عن المعلومات.
CVE-2026-50233
ثغرة عرض المجلدات التعسفية في خادم Lyrion Music Server 9.2.0 عبر نقطة نهاية غير مصرح بها
21:10 KSA
يحتوي خادم Lyrion Music Server 9.2.0 على ثغرة في الوصول إلى المجلدات التعسفية في استعلام readdirectory المكشوف عبر خدمة سطر الأوامر (منفذ TCP 9090) ونقطة نهاية HTTP JSON-RPC. يسمح الاستعلام بتعداد محتويات أي موقع في نظام الملفات دون تقييد على المجلدات المكونة أو المصادقة في التكو…
⚠️ استخبارات التهديدات
33 تهديد
rss:Dark Reading
—
03:18 KSA
مقاييس خزانات الوقود المكشوفة تتعرض للهجوم في الولايات المتحدة
يستغل الفاعلون الخطرون مقاييس الخزانات المكشوفة على الإنترنت في محطات الوقود للوصول غير المصرح به وإحداث اضطرابات تشغيلية. يشكل هذا الضعف في أنظمة التحكم الصناعية مخاطر كبيرة على البنية التحتية لإمدا…
rss:The Hacker News
—
01:25 KSA
هجمات سلسلة التوريد: دودة Miasma الجديدة و IronWorm تستهدف npm
تعرض نظام npm لهجمات متعددة على سلسلة التوريد باستخدام أكثر من 50 حزمة مشروعة مسمومة لنشر برنامج IronWorm لسرقة المعلومات ودودة Miasma ذاتية الانتشار. استغل الفاعلون التهديد الحزم المسمومة للتأثير عل…
rss:BleepingComputer
—
01:25 KSA
مجموعة صينية متقدمة تنشر برامج ضارة جديدة للحفاظ على الوصول للشبكات المخترقة
تقوم مجموعة APT صينية تُعرف باسم UNC5221 بنشر عدة برامج خلفية بما فيها Brickstorm وبرامج ضارة جديدة لم تُكتشف من قبل تُسمى Plenet و AgentPSD للحفاظ على الوصول المستمر إلى بيئات Microsof…
rss:BleepingComputer
—
01:25 KSA
تحذير من CISA: المتسللون يستغلون ثغرة SolarWinds Serv-U لإيقاف الخوادم
حذرت وكالة CISA من استغلال نشط لثغرة عالية الخطورة في برنامج SolarWinds Serv-U تمكن المهاجمين من إيقاف الخوادم. تم إصدار تصحيح للثغرة مؤخراً، لكن الجهات الفاعلة الضارة تستغلها بالفعل. المنظما…
rss:BleepingComputer
—
00:09 KSA
بائع في سوق نيميسيس على الويب المظلم يحصل على 26 سنة لبيع المخدرات
حُكم على رجل من كاليفورنيا بـ 26 سنة في السجن لاتجاره بالفنتانيل والميثامفيتامين عبر سوق نيميسيس، وهي من أكبر أسواق الويب المظلم. تُظهر هذه القضية قدرة إنفاذ القانون على تتبع والمقاضاة للأنشطة ال…
rss:The Hacker News
—
23:20 KSA
برنامج التجسس Asin يستهدف المستخدمين العرب عبر تطبيقات أخبار مزيفة وخرائط حروب وملفات PDF
برنامج تجسس جديد يُدعى Asin يستهدف المستخدمين الناطقين بالعربية من خلال تطبيقات مخادعة تتظاهر بأنها أخبار وقارئات PDF وخرائط حروب. تم اكتشاف البرنامج الضار لأول مرة في أوائ…
rss:SecurityWeek
—
22:36 KSA
مشروع OWASP الحاضن يساعد المطورين على اكتشاف وإصلاح المكتبات البرمجية الضعيفة في ثوان
CVE Lite CLI هي أداة سطر أوامر مفتوحة المصدر تقوم بفحص سريع للمشاريع البرمجية لتحديد المكتبات البرمجية الضعيفة المضمنة. يمكن لهذا المشروع من OWASP للمطورين اكتشاف وإصلاح الثغرا…
rss:Recorded Future
—
21:32 KSA
لماذا المصادر الشاملة تنتصر: الأرقام خلف ميزة Recorded Future
يستخدم نظام Recorded Future للذكاء التهديدي مصادر شاملة تغطي أكثر من مليون مصدر لتوفير استخبارات تهديدات شاملة. يمكّن هذا النهج المنظمات من تحقيق استراتيجيات دفاع سيبراني أكثر استباقية وفعالية من خلال…
rss:Dark Reading
—
21:32 KSA
ديدان ذكية قابلة للتكيف تلوح في الأفق كتهديد للمؤسسات
يحذر الباحثون من ظهور ديدان مدعومة بالذكاء الاصطناعي قادرة على التكيف الذاتي مع البيئات الجديدة وتحديد الثغرات الأمنية، مما يشكل تهديداً كبيراً لأنظمة المؤسسات. من المتوقع أن تظهر هذه الديدان الذكية كتهديد عم…
rss:BleepingComputer
—
21:32 KSA
أكثر من 900 نظام قياس خزانات محطات الوقود الأمريكية معرضة للهجمات
تم اكتشاف أكثر من 900 نظام قياس خزانات آلي في الولايات المتحدة معرضة للهجمات الإلكترونية. تُستخدم هذه الأنظمة لمراقبة خزانات الوقود والمواد الكيميائية في قطاعات البنية التحتية الحرجة. يشكل هذا الت…
rss:Mandiant Blog
—
20:32 KSA
طلب المشورة: حملة موجهة مستمرة ضد شركات المحاماة الأمريكية
حددت شركة Mandiant حملة سرقة بيانات وابتزاز موجهة (UNC3753/Luna Moth) تستهدف شركات المحاماة الأمريكية من يناير إلى مايو 2026. يقوم الفاعل بتنفيذ هجمات موجهة لسرقة البيانات الحساسة والابتزاز من خلال تهديد…
rss:The Hacker News
—
20:32 KSA
مجموعة تهديد جديدة OP-512 تستهدف خوادم Microsoft IIS بإطار عمل Web Shell مخصص
اكتشف الباحثون مجموعة تهديد جديدة تُدعى OP-512 تستهدف خوادم Microsoft IIS لنشر إطار عمل Web Shell مخصص. تُقيّم المجموعة بثقة متوسطة إلى عالية بأنها تجري عمليات تجسس ضد البنية التحتية ا
rss:BleepingComputer
—
20:32 KSA
ما يؤكده تقرير DBIR 2026: الهجمات تعيش في المتصفح
يكشف تقرير Verizon DBIR 2026 أن هجمات التصيد الاحتيالي والإضافات الضارة وسرقة بيانات الاعتماد تستهدف طبقة المتصفح بشكل متزايد. تواجه المنظمات فجوات أمنية كبيرة حيث يستغل المهاجمون ثغرات المتصفح لسرقة بيانات الاعت…
rss:SecurityWeek
—
19:07 KSA
أخبار أخرى: أنثروبيك تحدد تهديدات الذكاء الاصطناعي، ثغرة كوموديو غير المصححة، رئيس بالانتير تحت الأنظار لـ CISA
تم الإبلاغ عن حوادث أمنية متعددة تشمل تسرب بيانات Ultrahuman وتحليل برنامج الفدية The Gentlemen واكتشاف تعدين العملات المشفرة المدمج مع متصفح Hola. با…
rss:Dark Reading
—
19:07 KSA
أمر ترامب بشأن الذكاء الاصطناعي يسعى لاختبار طوعي للنماذج المتقدمة
يؤسس أمر البيت الأبيض الإداري إطار عمل طوعي يسمح بوصول الحكومة المبكر إلى نماذج الذكاء الاصطناعي المتقدمة مع الاستثمار في البنية التحتية للأمن السيبراني الفيدرالي. تهدف هذه المبادرة إلى تحقيق الت…
rss:The Hacker News
—
19:07 KSA
فقط 10% من مراكز العمليات الأمنية يقولون أنهم يحصلون على قيمة ممتازة من الذكاء الاصطناعي. إليك ما يجب أن تقدمه الموجة الثانية
يفيد فقط 10% من مراكز العمليات الأمنية بحصولهم على قيمة ممتازة من تطبيقات الذكاء الاصطناعي، مما يشير إلى فجوة كبيرة بين الاستثمار في الذ…
rss:SecurityWeek
—
18:16 KSA
قراصنة يسربون معلومات DentaQuest تؤثر على 2.6 مليون شخص
قامت مجموعة ShinyHunters بسرب حوالي 234 جيجابايت من البيانات المسروقة من DentaQuest، وهي شركة متخصصة في إدارة مزايا طب الأسنان. يؤثر الاختراق على 2.6 مليون فرد تم تسريب معلوماتهم الشخصية والصحية. يمثل هذا ا…
rss:SecurityWeek
—
17:16 KSA
ردود الفعل الصناعية على أمر الرئيس ترامب التنفيذي الجديد بشأن الأمن السيبراني للذكاء الاصطناعي
قدم خبراء الصناعة تعليقاتهم على أمر تنفيذي جديد يتعلق بأمن الذكاء الاصطناعي، مناقشين المخاوف بشأن طبيعته الطوعية والتوازن بين تعزيز الابتكار والحفاظ على معايير الأمان …
rss:SecurityWeek
—
17:16 KSA
Chrome 149 يصحح 429 ثغرة أمنية
أصدرت جوجل إصدار Chrome 149 الذي يعالج 429 ثغرة أمنية، حيث تم تصنيف أكثر من 100 منها كحرجة أو عالية الخطورة. تتعلق الثغرات بشكل أساسي بأخطاء الذاكرة من نوع use-after-free والتحقق غير الكافي من المدخلات غير الموثوقة.
rss:Malwarebytes Lab
—
15:23 KSA
الذكاء الاصطناعي: تهديد أم أداة أم كليهما؟
تناقش المقالة المخاوف المتزايدة من الجمهور بشأن الذكاء الاصطناعي ودوره في الأمن السيبراني. تستكشف الطبيعة الثنائية للذكاء الاصطناعي كتهديد محتمل وأداة دفاعية في مجال الأمن السيبراني.
rss:SecurityWeek
—
15:23 KSA
التحالف الخماسي: الجواسيس الصينيون يستهدفون موظفي الحكومة والعسكر بفرص عمل وهمية
يقوم عملاء الاستخبارات الصينية بحملة هندسة اجتماعية متطورة، حيث ينتحلون صفة المجندين على منصات الإنترنت لاستهداف موظفي الحكومة والعسكر الذين لديهم إمكانية الوصول إلى معلومات سرية. ي…
rss:The Hacker News
—
15:22 KSA
المتسللون يستغلون ثغرة حرجة في إضافة Everest Forms Pro لـ WordPress للاستيلاء على المواقع
يقوم الفاعلون بتهديد نشط باستغلال ثغرة تنفيذ الأوامر البعيدة الحرجة (CVE-2026-3300) بدرجة CVSS 9.8 في إضافة Everest Forms Pro لـ WordPress التي تؤثر على حوالي 4000 تثبيت. ت…
rss:SecurityWeek
—
14:36 KSA
عملاق النوادي الليلية RCI يعلن عن خرق بيانات يؤثر على 40,000 فرد
أعلنت شركة RCI، وهي عملاق في صناعة النوادي الليلية، عن خرق بيانات يؤثر على 40,000 فرد بعد اكتشاف اختراق شبكة في مارس. أكدت التحقيقات أن المهاجمين سرقوا ملفات خلال الحادثة، مما أدى إلى تسرب بيانات ا…
rss:The Hacker News
—
14:36 KSA
عمليات احتيال كأس العالم FIFA 2026 نشطة بالفعل: مواقع مزيفة وبرامج ضارة بنكية وبيانات اعتماد مسروقة
يحذر الباحثون الأمنيون وFBI من موجة واسعة من عمليات الاحتيال المرتبطة بكأس العالم FIFA 2026، والتي تتضمن آلاف النطاقات المزيفة وبرامج ضارة بنكية مدمجة في تطبيقات …
rss:The Hacker News
—
13:18 KSA
PCPJack يختطف 230 خادماً في AWS وGoogle Cloud وAzure لشبكة SMTP سرية
قام الفاعل الضار PCPJack باختراق 230 خادماً سحابياً عبر AWS وGoogle Cloud وAzure لإنشاء شبكة SMTP سرية لإرسال رسائل بريد إلكترونية غير مصرح بها. تم تحويل خوادم الأعمال المخترقة في الولايات المت…
rss:BleepingComputer
—
13:18 KSA
سيسكو تحذر من ثغرة يوم الصفر في SD-WAN غير معالجة يتم استغلالها في هجمات
كشفت شركة سيسكو عن ثغرة يوم صفر عالية الخطورة في منتج Cisco Catalyst SD-WAN Manager يتم استغلالها بنشاط في هجمات حقيقية. تسمح الثغرة للمهاجمين بالحصول على امتيازات الجذر على الأنظمة المتأثر…
rss:SecurityWeek
—
11:54 KSA
تحذير سيسكو من ثغرة يوم الصفر السابعة في SD-WAN المستغلة في 2026
كشفت سيسكو عن ثغرة حرجة من نوع يوم الصفر (CVE-2026-20245) في منتجات SD-WAN الخاصة بها تسمح للمهاجمين بتنفيذ أوامر عشوائية بصلاحيات الجذر. لا يوجد تصحيح متاح حالياً، مما يترك الأنظمة المتأثرة عرضة ل
rss:Dark Reading
—
04:42 KSA
4 تهديدات حرجة حيث يتمتع المهاجمون بالأفضلية
يسلط محللو Gartner الضوء على أربعة تهديدات ناشئة حرجة يحتفظ فيها المهاجمون بمزايا تكتيكية، بما في ذلك الصور المزيفة والهجمات بحقن الأوامر. يتم حث المنظمات على تعزيز الدفاعات ضد هذه المتجهات الهجومية المتطورة.
rss:Dark Reading
—
04:42 KSA
مجموعة TA4922 الصينية توسع هجمات الجرائم الإلكترونية عالمياً
تقوم مجموعة TA4922 الصينية للجرائم الإلكترونية بتوسيع عملياتها خارج شرق آسيا لاستهداف المنظمات عالمياً. يشير توسع المجموعة إلى تهديدات متزايدة للمنظمات الدولية عبر مناطق متعددة.
rss:Dark Reading
—
04:42 KSA
دودة IronWorm المكتوبة بلغة Rust تستهدف سلسلة NPM
يستهدف برنامج IronWorm الضار المطورين عبر سلسلة NPM لسرقة بيانات الاعتماد والانتشار عبر قنوات توزيع البرامج. تستخدم الحملة تكتيكات سرقة بيانات الاعتماد المشابهة للهجمات السابقة على سلسلة التوريد لتعريض أنظمة متعد
rss:BleepingComputer
—
04:41 KSA
Brave Software تطلق Origin لتجربة تصفح مدفوعة خالية من البرامج الإضافية
أطلقت Brave نسخة Origin المدفوعة من متصفحها التي تزيل ميزات العملات المشفرة والذكاء الاصطناعي والتسويق. يمثل هذا تحولاً نحو تجربة تصفح أنظف وموجهة للخصوصية بدون برامج غير ضرورية.
rss:BleepingComputer
—
04:41 KSA
حملة سرقة بطاقات الائتمان تسيء استخدام Stripe لاستضافة بيانات الدفع المسروقة
تستخدم حملة Magecart بنية Stripe API لاستضافة برنامج سرقة بطاقات الائتمان وتسريب بيانات الدفع من صفحات الدفع في المتاجر الإلكترونية. يستغل هذا الهجوم البنية التحتية للدفع الشرعية لارتكا…
rss:BleepingComputer
—
04:41 KSA
متصفح Hola للويندوز تم اختراقه لتوزيع برنامج تعدين العملات المشفرة
تم اختراق متصفح Hola للويندوز في هجوم سلسلة التوريد الذي أدى إلى حقن برنامج تعدين العملات المشفرة في التطبيق. يوضح هذا الهجوم مخاطر قنوات توزيع البرامج المخترقة وأهمية التحقق من سلامة البرامج.
📰 أخبار الأمن السيبراني
0 مقال
لا توجد أخبار مجمّعة اليوم حتى الآن
يتم تحديث هذه النشرة تلقائياً يومياً — آخر تحديث: 05 Jun 2026
أرشيف الثغرات ·
التهديدات ·
الأخبار