83
ثغرة
10
تهديد
1
خبر
2
حرجة
1
CISA KEV
🛡 الثغرات الأمنية (CVE)
يسمح هذا الثغر للمهاجمين غير المصرح لهم بالوصول إلى بيانات اعتماد النص العادي المستخدمة للاتصال بخدمة Sitefinity Insight من خلال نقاط نهاية خدمات الويب غير المحمية بشكل كافٍ. يتطلب الاستغلال الناجح تكاملاً نشطاً مع Sitefinity Insight وتكوين موقع غير افتراضي. تؤثر هذه الثغرة على ع…
تؤثر هذه الثغرة على SolarWinds Serv-U وتسمح بهجمات حرمان الخدمة غير المصرح بها عبر طلبات POST مصنوعة خصيصاً. يمكن للمهاجمين إسقاط الخدمة دون الحاجة إلى بيانات اعتماد المصادقة، مما يؤثر على توفر الخدمة. تتطلب الثغرة إجراء فوري لتجنب انقطاع الخدمة.
ثغرة تنفيذ أوامر بعيدة في إضافة Content Visibility for Divi Builder تؤثر على جميع الإصدارات حتى 4.02. تسمح الثغرة للمستخدمين المصرح لهم على مستوى المساهم وما فوق بتنفيذ أكواد عشوائية على خادم الويب عبر معامل 'cvdb_content_visibility_check' في اختصار 'et_pb_text'.
CVE-2026-1784
حقن تكوين HAProxy في موارد OpenShift Route عبر التحقق غير الكافي من spec.path
21:08 KSA
يسمح هذا الثغر للمهاجمين بحقن تعليمات HAProxy ضارة من خلال معامل spec.path في موارد OpenShift Route، مما يؤدي إلى تجاوز الضوابط الأمنية. يمكن استغلال هذا الثغر للوصول غير المصرح به إلى التطبيقات أو تعديل سلوك التوجيه أو شن هجمات رفع الخدمة.
ثغرة تسرب الذاكرة في Strongbox ناجمة عن فشل في فحص حدود المصفوفات والمؤشرات. قد يستغل المهاجمون هذه الثغرة لتنفيذ أكواد تعسفية والحصول على تحكم كامل بالنظام. تؤثر الثغرة على جميع الإصدارات غير المصححة من Strongbox.
ثغرة تجاوز المخزن المؤقت في Strongbox تنتج عن معالجة غير آمنة للبيانات المدخلة، مما يسمح بفساد الذاكرة. يمكن للمهاجمين استخدام هذه الثغرة لتنفيذ كود عشوائي أو إيقاف الخدمات بشكل متعمد.
تؤثر هذه الثغرة على كاميرات Vivotek FD8136 التي تعمل بإصدار البرنامج الثابت FD8136-VVTK-0300a وتسمح للمهاجمين المصرح لهم بتجاوز المخزن المؤقت عبر نقطة نهاية CGI محددة. يمكن للمهاجم تنفيذ كود تعسفي بامتيازات الجذر مما يؤدي إلى السيطرة الكاملة على الجهاز.
تؤثر هذه الثغرة على خدمات الويب في Progress Sitefinity وتسمح بالتسبب في تسوية حسابات المستخدمين من خلال التحقق غير الصحيح من المدخلات. يتطلب الاستغلال تفاعل المستخدم وتكوين موقع غير افتراضي، مما يحد من نطاق التأثير المحتمل.
تؤثر هذه الثغرة على أجهزة بوابة UTT HiPER 1200GW وتسمح للمهاجمين البعيدين باستغلال دالة strcpy غير الآمنة في معالج formTaskEdit. يمكن للمهاجمين تجاوز المخزن المؤقت للمكدس وتنفيذ كود عشوائي بامتيازات الجهاز.
يؤثر هذا الضعف على وظيفة strcpy في ملف /goform/formFireWall في أجهزة UTT HiPER 1200GW، حيث يمكن للمهاجمين البعيدين استغلال معامل Profile لتجاوز المخزن المؤقت وتنفيذ تعليمات برمجية عشوائية. تم نشر استغلال الثغرة علناً، مما يزيد من خطر الاستخدام الفعلي في الهجمات.
CVE-2026-49120
ثغرة SSRF في عامل الاشتراك بـ Medplum تسمح بالوصول غير المصرح إلى الشبكة الداخلية
21:08 KSA
تحتوي نسخ Medplum السابقة للإصدار 5.1.14 على ثغرة SSRF في مكون عامل الاشتراك الذي يسمح للمستخدمين المصرح لهم بإنشاء موارد FHIR Subscription بعناوين نقاط نهاية تعسفية. يمكن للمهاجمين توجيه هذه النقاط الطرفية نحو خدمات البيانات الوصفية للسحابة والقواعد البيانات الداخلية ونقاط نهاية…
ثغرة تجاوز المخزن المؤقت في Arm Whois 3.11 تسمح للمهاجمين المحليين بتنفيذ كود عشوائي من خلال إنشاء ملف إدخال ضار. يستغل المهاجم إزاحة 672 بايت لكتابة البيانات فوق مؤشرات معالج الاستثناءات المنظمة (nSEH و SEH)، مما يمكنه من السيطرة على تدفق التنفيذ.
CVE-2026-49491
Pixa Bank 2.0 contains an SQL injection vulnerability that allows unauthenticated attackers to extract sensitive data by
15:18 KSA
Pixa Bank 2.0 contains an SQL injection vulnerability that allows unauthenticated attackers to extract sensitive data by injecting SQL code into the 'rib' parameter. Attackers can send POST requests to the agence-ajax.php endpoint with UNION-based SQL payloads to retrieve user in…
تتعلق هذه الثغرة بضعف تشفيري في معالجة أقسام التخزين يسمح بالوصول غير المصرح للكتابة. يمكن للمهاجمين استغلال هذا الضعف لتثبيت محمل إقلاع مخصص والتحكم الكامل في النظام. التأثير يشمل كسر السلامة الأمنية للجهاز والوصول إلى البيانات الحساسة.
تؤثر هذه الثغرة على معالجة الذاكرة في SolarWinds Web Help Desk، مما يسمح بحجب الخدمة من خلال استنزاف موارد الذاكرة. يمكن للمهاجمين استغلال هذا الضعف لتعطيل توفر خدمات إدارة المساعدة، مما يؤثر على عمليات دعم تكنولوجيا المعلومات.
ثغرة حقن SQL في المكون الإضافي WP AutoSuggest الإصدار 0.24 تسمح للمهاجمين بتنفيذ استعلامات SQL عشوائية دون الحاجة إلى مصادقة. يمكن للمهاجمين استخراج بيانات حساسة من جداول WordPress بما في ذلك المنشورات والمستخدمين والإعدادات من خلال معامل wpas_keys.
CVE-2018-25433
ثغرة حقن SQL غير مصرح بها في Joomla JE Photo Gallery 1.1 عبر معامل categoryid
03:01 KSA
ثغرة حقن SQL في مكون معرض الصور JE Photo Gallery الإصدار 1.1 تسمح للمهاجمين بتنفيذ استعلامات SQL عشوائية دون الحاجة إلى المصادقة. يمكن استغلال الثغرة من خلال معامل categoryid في طلبات GET لاستخراج بيانات حساسة من قاعدة البيانات. هذا يشكل خطراً كبيراً على سرية البيانات والامتثال ل…
تحتوي ثغرة CWE-23 على فحص غير صحيح لحدود المجلد الجذر في دالة _get_os_path() حيث يستخدم startswith بدون فاصل مسار نهائي. تسمح الثغرة للمهاجمين بالوصول إلى الملفات في المجلدات الشقيقة والملفات الحساسة في بيئات الاستضافة المشتركة.
تتعلق هذه الثغرة بمعالجة غير آمنة لاستدعاءات IOCTL المتعلقة بعمليات الهروب، مما يؤدي إلى تلف الذاكرة. قد يستغل المهاجمون هذا الضعف للوصول غير المصرح به أو تعطيل الخدمات الحرجة.
يوجد ثغرة في التحقق من صحة المدخلات تسمح بالكشف عن الصور عبر حسابات المستخدمين المختلفة. يمكن للمهاجم استغلال هذه الثغرة للحصول على امتيازات محلية متزايدة مع الحد الأدنى من المتطلبات. تتطلب الثغرة تفاعل المستخدم للاستغلال الناجح.
تتعلق هذه الثغرة بفساد الذاكرة الذي يحدث عند معالجة أوامر IOCTL متعددة المتعلقة بعمليات الهروب. يمكن للمهاجمين استغلال هذا الضعف لتنفيذ أكواد عشوائية أو التسبب في انهيار النظام. تتطلب الثغرة معالجة فورية لمنع الاستغلال المحتمل.
CVE-2025-59606
Memory Corruption when writing to invalid memory locations occurs due to heap memory exhaustion during secure data initi
15:18 KSA
Memory Corruption when writing to invalid memory locations occurs due to heap memory exhaustion during secure data initialization.
CVE-2025-32348
فقدان فحص الأذونات يمكّن تصعيد الامتيازات المحلية عبر تشغيل الأنشطة في الخلفية
03:01 KSA
تحتوي هذه الثغرة على فحص أذونات مفقود في عدة مواقع يسمح بتشغيل الأنشطة في الخلفية دون التحقق من الأذونات المناسبة. يمكن للمهاجمين المحليين استغلال هذه الثغرة لتصعيد امتيازاتهم دون الحاجة إلى امتيازات تنفيذ إضافية أو تفاعل من المستخدم.
هذه الثغرة تنشأ من عدم التحقق من التعديلات المتزامنة على المخازن المشتركة بين عمليات المستخدم والنظام. يمكن للمهاجمين استغلال حالات التنافس (Race Conditions) للوصول إلى مناطق ذاكرة حساسة أو تعديلها. قد يؤدي هذا إلى تنفيذ كود عشوائي أو رفع الامتيازات.
CVE-2025-59605
Memory Corruption when processing device identifier strings that exceed the expected maximum length.
15:18 KSA
Memory Corruption when processing device identifier strings that exceed the expected maximum length.
CVE-2025-59604
Memory Corruption when running a memory copy operation due to invalid writes caused by a null pointer.
15:18 KSA
Memory Corruption when running a memory copy operation due to invalid writes caused by a null pointer.
تحتوي نماذج Kiteworks الآمنة على ثغرات حقن SQL متعددة تسمح للمستخدمين المصرح لهم بدور FormBuilder بتنفيذ استعلامات SQL ضارة. يمكن للمهاجمين استخراج بيانات حساسة من تعريفات النماذج الأخرى والوصول إلى معاملات الإعدادات العامة وتعديلها. هذا يشكل تهديداً كبيراً لسرية وسلامة البيانات …
تحتوي نسخ AIOHTTP السابقة للإصدار 3.14.0 على ثغرة في معالجة ملفات تعريف الارتباط حيث يتم إرسال ملفات تعريف الارتباط المعينة عبر معامل الطلب بعد اتباع عمليات إعادة التوجيه بين المجالات. يمكن للمهاجمين الذين يتحكمون في عمليات إعادة التوجيه استخراج بيانات المصادقة الحساسة والجلسات. …
ثغرة في معالج استجابة SAML في authentik تتجاهل عناصر الشروط بما في ذلك NotBefore و NotOnOrAfter و AudienceRestriction. يسمح هذا للمهاجمين بإعادة تشغيل التأكيدات المنتهية الصلاحية وقبول التأكيدات المخصصة لمزودي خدمات آخرين، مما يؤدي إلى الوصول غير المصرح به.
ثغرة SQL Injection في إضافة ARMember Premium للووردبريس تؤثر على جميع الإصدارات حتى 7.3.1. تسمح الثغرة للمهاجمين غير المصرحين بإدراج استعلامات SQL إضافية واستخراج معلومات حساسة من قاعدة البيانات. السبب الرئيسي هو عدم كفاية التحقق من صحة معاملات 'order' و 'orderby' وعدم استخدام ال…
ثغرة Local File Inclusion في مكون WP User Manager تسمح للمهاجمين غير المصرحين بتضمين وتنفيذ ملفات PHP عشوائية على الخادم. يمكن استخدام هذه الثغرة لتجاوز عناصر التحكم في الوصول والحصول على بيانات حساسة أو تحقيق تنفيذ كود عشوائي. تؤثر الثغرة على جميع الإصدارات حتى الإصدار 2.9.17.
ثغرة SSRF في go-fastdfs-web تؤثر على نقطة نهاية التثبيت /install/checkServer في الإصدارات حتى 1.3.7. يمكن للمهاجمين البعيدين استغلال هذه الثغرة لتنفيذ طلبات غير مصرح بها من خادم التطبيق المتأثر. تم نشر الاستغلال علناً والبائع لم يستجب للإفصاح المسؤول.
ثغرة حقن SQL في Jinher OA 1.0 تؤثر على ملف nextselectplan.aspx حيث يمكن للمهاجمين التلاعب بمعامل httpOID لتنفيذ أوامر SQL عشوائية. يمكن شن الهجوم عن بعد والاستغلال متاح علناً مع عدم استجابة البائع للإفصاح المبكر.
يتعلق هذا الثغرة بضعف في معالجة معاملات GET في ملف tour.php حيث لا يتم التحقق من صحة مدخلات المستخدم بشكل صحيح. يمكن للمهاجمين البعيدين استغلال هذا الضعف لتنفيذ أوامر SQL عشوائية والوصول إلى البيانات الحساسة في قاعدة البيانات.
تؤثر هذه الثغرة على وظيفة resolveAuth في ملف internal/http/auth.go في مكون معالج التحقق من Webhook. يسمح الاستغلال للمهاجمين البعيدين بتجاوز آليات المصادقة والوصول غير المصرح به إلى موارد النظام. تم الكشف عن الثغرة علناً مما يزيد من احتمالية الاستغلال.
ثغرة Cross-Site Scripting (XSS) مخزنة في مكون All-In-One Security للـ WordPress تسمح لمهاجم غير مصرح بحقن كود JavaScript ضار عبر طلبات REST API. يحدث الهجوم عندما تكون ميزات تسجيل التصحيح وتعطيل REST API للمستخدمين غير المسجلين مفعّلة، حيث يتم تخزين الحمولة الضارة في قاعدة البيان…
تحتوي إضافة تكامل Freshsales لـ WordPress على ثغرة XSS مخزنة تسمح للمهاجمين غير المصرح لهم بحقن نصوص برمجية ضارة عبر بيانات نماذج الويب. يتم تنفيذ الحمولة الضارة عندما يفشل استدعاء واجهة برمجية لـ CRM ويقوم المسؤول بعرض تفاصيل سجل الأخطاء في لوحة تحكم WordPress.
CVE-2026-9851
ثغرة تصعيد الامتيازات في إضافة Booking Package لـ WordPress عبر استيلاء الحساب
03:18 KSA
تحتوي إضافة Booking Package للووردبريس على ثغرة في التحقق من الصلاحيات في نقطة نهاية AJAX المسماة package_app_action. يسمح هذا للمستخدمين المصرح لهم بمستوى محرر أو أعلى بتعديل أي حساب مستخدم بما في ذلك حسابات المسؤولين. يمكن للمهاجمين تغيير عناوين البريد الإلكتروني وكلمات المرور …
Memory Corruption when processing fastboot commands to set display mode.
CVE-2026-24091
Memory corruption while processing fastboot commands with improperly formatted input.
21:08 KSA
Memory corruption while processing fastboot commands with improperly formatted input.
Memory corruption while processing fastboot commands with invalid input.
إضافة MDJM Event Management في WordPress تحتوي على ثغرة تحميل ملفات تعسفية في دالة mdjm_send_comm_email بسبب عدم التحقق من نوع الملف أو الامتداد أو نوع MIME. يمكن للمسؤولين المصرح لهم تحميل ملفات قابلة للتنفيذ مما يؤدي إلى تنفيذ أكواد بعيدة على خوادم WordPress.
يتعلق هذا الضعف بتلف الذاكرة في معالج أوامر fastboot OEM الذي قد يسمح بتنفيذ كود عشوائي أو إنكار الخدمة. يؤثر على برامج التمهيد للأجهزة المحمولة والأنظمة المدمجة المستخدمة في المؤسسات السعودية.
CVE-2026-24085
Memory Corruption when processing display command line information due to improper initialization of a variable.
15:18 KSA
Memory Corruption when processing display command line information due to improper initialization of a variable.
CVE-2026-24090
Cryptographic issue while processing partition table entries allows unauthorized modification of boot flow.
21:08 KSA
Cryptographic issue while processing partition table entries allows unauthorized modification of boot flow.
تؤثر هذه الثغرة على Paroiciel الإصدار 11.20 وتسمح للمستخدمين المصرحين بتنفيذ استعلامات SQL تعسفية. يمكن للمهاجمين الوصول إلى بيانات حساسة مثل أسماء المستخدمين وأسماء قواعد البيانات والإصدارات من خلال معامل zProIdPro في ملف zpro.php.
تؤثر هذه الثغرة على Paroiciel الإصدار 11.20 وتسمح للمستخدمين المصرحين بتنفيذ استعلامات SQL عشوائية من خلال معامل eGeqIdEquipe. يمكن للمهاجمين الوصول إلى معلومات حساسة مثل تفاصيل إصدار قاعدة البيانات والبيانات الأخرى المحفوظة. تتطلب الثغرة مستوى وصول مصرح به لكن تشكل خطراً كبيراً …
ثغرة حقن SQL في نقطة نهاية التصدير /nocms/main/manage_privilege/index/export تسمح للمستخدمين المصرحين بإدراج رمز SQL ضار في معامل order_by[0]. يمكن للمهاجمين استخراج بيانات حساسة من قاعدة البيانات من خلال معالجة استعلامات SQL.
CVE-2026-7566
The LearnPress – Backup & Migration Tool plugin for WordPress is vulnerable to PHP Object Injection in all versions up t
11:11 KSA
The LearnPress – Backup & Migration Tool plugin for WordPress is vulnerable to PHP Object Injection in all versions up to, and including, 4.1.4 via deserialization of untrusted input . This makes it possible for authenticated attackers, with administrator-level access and above, …
CVE-2026-10938
Inappropriate implementation in Input in Google Chrome prior to 149.0.7827.53 allowed a remote attacker who had compromi
04:29 KSA
Inappropriate implementation in Input in Google Chrome prior to 149.0.7827.53 allowed a remote attacker who had compromised the renderer process to bypass site isolation via a crafted HTML page. (Chromium security severity: High)
CVE-2026-10992
Insufficient data validation in Animation in Google Chrome prior to 149.0.7827.53 allowed a remote attacker to obtain po
08:02 KSA
Insufficient data validation in Animation in Google Chrome prior to 149.0.7827.53 allowed a remote attacker to obtain potentially sensitive information from process memory via a crafted HTML page. (Chromium security severity: Medium)
CVE-2026-10993
Heap buffer overflow in Skia in Google Chrome prior to 149.0.7827.53 allowed a remote attacker to obtain potentially sen
08:02 KSA
Heap buffer overflow in Skia in Google Chrome prior to 149.0.7827.53 allowed a remote attacker to obtain potentially sensitive information from process memory via a crafted HTML page. (Chromium security severity: Medium)
CVE-2026-10994
Uninitialized Use in ANGLE in Google Chrome prior to 149.0.7827.53 allowed a remote attacker to obtain potentially sensi
08:02 KSA
Uninitialized Use in ANGLE in Google Chrome prior to 149.0.7827.53 allowed a remote attacker to obtain potentially sensitive information from process memory via a crafted HTML page. (Chromium security severity: Medium)
CVE-2026-10996
Inappropriate implementation in Workers in Google Chrome prior to 149.0.7827.53 allowed a remote attacker to bypass same
08:02 KSA
Inappropriate implementation in Workers in Google Chrome prior to 149.0.7827.53 allowed a remote attacker to bypass same origin policy via a crafted HTML page. (Chromium security severity: Medium)
CVE-2026-10997
Insufficient policy enforcement in Extensions in Google Chrome prior to 149.0.7827.53 allowed an attacker who convinced
08:02 KSA
Insufficient policy enforcement in Extensions in Google Chrome prior to 149.0.7827.53 allowed an attacker who convinced a user to install a malicious extension to bypass discretionary access control via a crafted Chrome Extension. (Chromium security severity: Medium)
ثغرة تجاوز عدد صحيح في مكتبة ANGLE (مكتبة الرسومات) بمتصفح Google Chrome على Windows تسمح لعملية عرض مخترقة بقراءة معلومات حساسة من ذاكرة العملية عبر صفحة HTML مصنوعة بعناية. تتطلب الثغرة أن تكون عملية العرض مخترقة بالفعل، مما يجعلها جزءاً من هجوم متعدد المراحل.
تتعلق هذه الثغرة بتطبيق غير صحيح في وحدة الدفع بمتصفح جوجل كروم، حيث يمكن لمهاجم بعيد إقناع المستخدم بتنفيذ إيماءات واجهة مستخدم محددة لتنفيذ هجوم خداع واجهة المستخدم. يتم تنفيذ الهجوم من خلال صفحة HTML مصممة خصيصاً.
CVE-2026-10937
Inappropriate implementation in Passwords in Google Chrome prior to 149.0.7827.53 allowed a remote attacker to bypass sa
04:29 KSA
Inappropriate implementation in Passwords in Google Chrome prior to 149.0.7827.53 allowed a remote attacker to bypass same origin policy via a crafted HTML page. (Chromium security severity: High)
CVE-2026-9829
The Photo Gallery by 10Web – Mobile-Friendly Image Gallery plugin for WordPress is vulnerable to time-based SQL Injectio
13:16 KSA
The Photo Gallery by 10Web – Mobile-Friendly Image Gallery plugin for WordPress is vulnerable to time-based SQL Injection via 'compact_album_order_by' Shortcode Parameter in all versions up to, and including, 1.8.41 due to insufficient escaping on the user supplied parameter and …
CVE-2026-7795
The Click to Chat – WA Widget plugin for WordPress is vulnerable to Stored Cross-Site Scripting via the [chat] shortcode
11:11 KSA
The Click to Chat – WA Widget plugin for WordPress is vulnerable to Stored Cross-Site Scripting via the [chat] shortcode 'num' parameter in all versions up to, and including, 4.38. This is due to insufficient escaping when embedding user-supplied shortcode attribute values inside…
CVE-2026-7796
The EmbedPress – PDF Embedder, Embed PDF viewer, YouTube Videos, 3D FlipBook, Social feeds & more plugin for WordPress i
11:11 KSA
The EmbedPress – PDF Embedder, Embed PDF viewer, YouTube Videos, 3D FlipBook, Social feeds & more plugin for WordPress is vulnerable to Stored Cross-Site Scripting via the block 'url' attribute in all versions up to, and including, 4.5.3 due to insufficient input sanitization and…
تحتوي الإضافة على ثغرة XSS مخزنة تسمح للمستخدمين المصرح لهم بمستوى المساهم فما فوق بحقن برامج نصية ضارة عبر خاصية 'type' في shortcode [stripe-express]. الثغرة ناتجة عن عدم استخدام دوال الهروب المناسبة مثل esc_attr() عند معالجة قيم الخاصيات. تنفذ البرامج النصية المحقونة عندما يزور…
تحتوي إضافة Simple SEO Slideshow للـ WordPress على ثغرة XSS مخزنة في خصائص الـ Shortcode تسمح للمستخدمين المصرح لهم على مستوى المساهم بحقن برامج نصية ضارة. لا تقوم وظيفة WordPress KSES بتجريد قيم خصائص الـ Shortcode الضارة عند حفظ المنشور، مما يسمح بتنفيذ الحمولات الضارة لأي زائر…
CVE-2026-9281
The Master Addons For Elementor – Widgets, Extensions, Theme Builder, Popup Builder & Template Kits plugin for WordPress
09:45 KSA
The Master Addons For Elementor – Widgets, Extensions, Theme Builder, Popup Builder & Template Kits plugin for WordPress is vulnerable to Stored Cross-Site Scripting via 'jtlma_custom_js' Page Setting (Custom JS Extension) in all versions up to, and including, 3.1.0 due to insuff…
CVE-2026-11441
A vulnerability was identified in theonedev onedev up to 15.0.5. This vulnerability affects the function canAccessIssue
01:18 KSA
A vulnerability was identified in theonedev onedev up to 15.0.5. This vulnerability affects the function canAccessIssue of the file /issues/ of the component Pull Request Handler. Such manipulation of the argument issue leads to improper authorization. It is possible to launch th…
CVE-2026-11406
A vulnerability was determined in GL.iNet MT3000 up to 4.4.5. This vulnerability affects unknown code of the file ovpncl
17:32 KSA
A vulnerability was determined in GL.iNet MT3000 up to 4.4.5. This vulnerability affects unknown code of the file ovpnclient.sh of the component OpenVPN Client Import Workflow. This manipulation causes command injection. Remote exploitation of the attack is possible. The exploit …
CVE-2026-11408
A vulnerability was identified in vertex-app vertex up to 2026.02.12. This issue affects some unknown processing of the
17:32 KSA
A vulnerability was identified in vertex-app vertex up to 2026.02.12. This issue affects some unknown processing of the file app/model/LogMod.js of the component Log Viewer Endpoint. Such manipulation of the argument req.query leads to os command injection. The attack can be exec…
CVE-2026-11412
A weakness has been identified in Jinher OA C6. The affected element is an unknown function of the file /C6/JHSoft.Web.M
17:32 KSA
A weakness has been identified in Jinher OA C6. The affected element is an unknown function of the file /C6/JHSoft.Web.ModuleCount/GetFormSn.aspx. Executing a manipulation of the argument queryID can lead to sql injection. The attack may be performed from remote. The exploit has …
CVE-2026-11440
A vulnerability was determined in theonedev onedev up to 15.0.5. This affects an unknown part of the file /repositories/
01:18 KSA
A vulnerability was determined in theonedev onedev up to 15.0.5. This affects an unknown part of the file /repositories/{projectId}/default-branch of the component REST API. This manipulation of the argument project.defaultBranch causes improper authorization. It is possible to i…
CVE-2026-11438
A vulnerability has been found in theonedev onedev up to 15.0.5. Affected by this vulnerability is an unknown functional
23:54 KSA
A vulnerability has been found in theonedev onedev up to 15.0.5. Affected by this vulnerability is an unknown functionality of the file /projects. The manipulation of the argument project.forkedFromId leads to improper authorization. The attack is possible to be carried out remot…
CVE-2026-11439
A vulnerability was found in theonedev onedev up to 15.0.5. Affected by this issue is some unknown functionality of the
01:18 KSA
A vulnerability was found in theonedev onedev up to 15.0.5. Affected by this issue is some unknown functionality of the file /projects/ of the component Parent Project Handler. The manipulation of the argument project.parentId results in improper authorization. The attack may be …
CVE-2026-9280
The Ad Inserter – Ad Manager & AdSense Ads plugin for WordPress is vulnerable to Reflected Cross-Site Scripting via URL
11:11 KSA
The Ad Inserter – Ad Manager & AdSense Ads plugin for WordPress is vulnerable to Reflected Cross-Site Scripting via URL Parameters in iframe Mode in all versions up to, and including, 2.8.15 due to insufficient input sanitization and output escaping. This makes it possible for un…
تؤثر هذه الثغرة على خدمة AuditLogService وتسمح للمهاجمين الذين لديهم وصول محلي بالالتفاف حول ضوابط الوصول. يمكن للمهاجمين الوصول إلى معلومات حساسة مخزنة في سجلات التدقيق. يتم حل المشكلة في إصدار SMR يونيو 2026 الإصدار 1 وما بعده.
يتعلق هذا الثغرة بمعالجة غير صحيحة للصلاحيات في مزود SecTelephonyProvider مما يسمح للمهاجمين المحليين بتجاوز آليات الحماية. يمكن للمهاجم الوصول إلى ملفات حساسة وامتيازات النظام دون تفويض مناسب.
تحتوي نسخ SpriteWallpaper السابقة على خلل في تصدير مكونات Android حيث يتم كشف مكونات حساسة دون قيود كافية. يمكن للمهاجمين المحليين استغلال هذا الخلل للوصول إلى بيانات حساسة مخزنة أو معالجة بواسطة التطبيق. يتطلب الاستغلال وصول فعلي أو محلي إلى الجهاز.
تتعلق هذه الثغرة بتعيين غير صحيح للامتيازات في أنظمة الهاتفية مما يسمح للمهاجمين المحليين بالوصول إلى معلومات حساسة. تؤثر الثغرة على الإصدارات السابقة لـ SMR يونيو 2026 الإصدار 1 وتتطلب وصولاً محلياً للاستغلال.
CVE-2026-8839
The MapPress Maps for WordPress plugin for WordPress is vulnerable to Authorization Bypass Through User-Controlled Key i
13:16 KSA
The MapPress Maps for WordPress plugin for WordPress is vulnerable to Authorization Bypass Through User-Controlled Key in all versions up to, and including, 2.96.6. This is due to missing ownership verification in the REST API routes registered via `Mappress_Api::rest_api_init()`…
CVE-2026-9016
The Debug Log Manager – Conveniently Monitor and Inspect Errors plugin for WordPress is vulnerable to Improper Output Ne
13:16 KSA
The Debug Log Manager – Conveniently Monitor and Inspect Errors plugin for WordPress is vulnerable to Improper Output Neutralization for Logs in all versions up to, and including, 2.5.0. This is due to the `log_js_errors()` AJAX handler being registered for unauthenticated users …
ثغرة في إضافة Event Monster للتعامل مع الأحداث والحجوزات في WordPress تسمح بتزوير بيانات الدفع. يمكن للمهاجمين غير المصرح لهم إنشاء سجلات دفع مزيفة وتحويل الحجوزات إلى حالة مكتملة والحصول على تذاكر QR صحيحة دون دفع فعلي.
CVE-2026-8502
ثغرة الكشف عن المعلومات الحساسة في إضافة LearnPress LMS بدون مصادقة عبر REST API
11:11 KSA
تحتوي إضافة LearnPress WordPress LMS على ثغرة في التحكم بالوصول تسمح للمهاجمين غير المصرح لهم بالوصول إلى بيانات الدورات الحساسة بما في ذلك كلمات المرور بصيغة نصية عادية. يمكن للمهاجمين استخدام معاملات معينة (c_status=all و return_type=json) للالتفاف حول قيود النشر والوصول إلى مح…
CVE-2026-41207
The netty incubator codec.bhttp is a java language binary http parser. Prior to version 0.0.21.Final, HKDF_expand return
04:29 KSA
The netty incubator codec.bhttp is a java language binary http parser. Prior to version 0.0.21.Final, HKDF_expand returns non-NULL on failure. The byte[] is filled with zeros and has no way to distinguish success from failure. Since this output is used as HKDF key material for th…
يفتقد مكون WPForms للتحقق من توقيع webhook PayPal المطلوب، مما يسمح للمهاجمين بتزوير أحداث webhook وتعديل سجلات الدفع. يمكن للمهاجمين إعادة تفعيل الاشتراكات الملغاة أو المعلقة أو تعديل بيانات الدفع الأخرى باستخدام معرف اشتراك صحيح معروف.
CVE-2026-7665
The Essential Addons for Elementor – Popular Elementor Templates & Widgets plugin for WordPress is vulnerable to Informa
11:11 KSA
The Essential Addons for Elementor – Popular Elementor Templates & Widgets plugin for WordPress is vulnerable to Information Exposure in all versions up to, and including, 6.6.4 via the ajax_load_more function due to insufficient restrictions on which posts can be included. This …
⚠️ استخبارات التهديدات
10 تهديد
rss:The Hacker News
—
21:17 KSA
وضع الحد من الوصول الجديد في ChatGPT يقيد الأدوات التي قد تمكن من تسرب البيانات
أطلقت OpenAI وضع حد من الوصول الجديد في ChatGPT للتخفيف من مخاطر تسرب البيانات الناجمة عن هجمات حقن المطالبات. تم تصميم هذه الميزة الأمنية للمستخدمين والمنظمات التي تتعامل مع بيانات …
rss:BleepingComputer
—
20:20 KSA
ثغرة حرجة في إضافة Everest Forms Pro يتم استغلالها للسيطرة على مواقع WordPress
يتم استغلال ثغرة حرجة (CVE-2026-3300) في إضافة Everest Forms Pro بشكل فعال من قبل المهاجمين للسيطرة الكاملة على المواقع المتأثرة. تسمح هذه الثغرة بالوصول غير المصرح به والسيطرة الكامل…
rss:SecurityWeek
—
17:32 KSA
شركة Opal Security تجمع 23 مليون دولار لحوكمة الهوية المدعومة بالذكاء الاصطناعي
أعلنت شركة Opal Security عن جولة تمويل بقيمة 23 مليون دولار ليصل إجمالي رأس المال إلى 59 مليون دولار، مع التركيز على حلول حوكمة الهوية المدعومة بالذكاء الاصطناعي. كما عينت الشركة خمس…
rss:The Hacker News
—
17:32 KSA
التطبيقات المجانية تحول أجهزة التلفاز الذكية بصمت إلى وكلاء لكشط الويب للذكاء الاصطناعي
تقوم شركة Bright Data بدمج مجموعة تطوير برمجيات في التطبيقات الاستهلاكية تحول الأجهزة بما فيها أجهزة التلفاز الذكية إلى عقد وكيل لعمليات كشط الويب. يسمح هذا الاختراق بسلسلة ا…
rss:The Hacker News
—
17:32 KSA
وكالة CISA تضيف ثغرة SolarWinds Serv-U المستغلة بنشاط إلى كتالوج الثغرات المعروفة
أضافت وكالة CISA ثغرة عالية الخطورة في برنامج خادم الملفات SolarWinds Serv-U إلى كتالوج الثغرات المعروفة المستغلة بسبب استغلالها النشط. تواجه المنظمات التي تستخدم هذا البرنامج خطرا…
rss:The Hacker News
—
14:36 KSA
وكيل ذكاء اصطناعي يكتشف 21 ثغرة يوم صفر في FFmpeg؛ كروم يصحح 429 خللاً قياسياً
اكتشف وكيل ذكاء اصطناعي 21 ثغرة يوم صفر لم تكن معروفة سابقاً في مكتبة FFmpeg المستخدمة على نطاق واسع في تطبيقات معالجة الفيديو. أطلقت جوجل في الوقت ذاته إصدار كروم 149 مع تصحيحات لعدد…
rss:The Hacker News
—
14:36 KSA
دودة ميازما تضرب 73 مستودع مايكروسوفت على جيتهاب في هجوم سلسلة التوريد الرئيسي
اخترقت دودة ميازما ذاتية التكاثر 73 مستودع مايكروسوفت على جيتهاب عبر أربع منظمات جيتهاب رئيسية تشمل Azure و Azure-Samples و Microsoft و MicrosoftDocs. يمثل هجوم سلسلة التوريد هذا تهدي…
rss:The Hacker News
—
12:16 KSA
ثغرة Cisco Catalyst SD-WAN Manager CVE-2026-20245 قيد الاستغلال النشط – لا يوجد تصحيح متاح
أصدرت Cisco تحذيراً بشأن ثغرة عالية الخطورة (CVE-2026-20245) في Catalyst SD-WAN Manager بدرجة CVSS تبلغ 7.8 وهي قيد الاستغلال النشط حالياً. تؤثر الثغرة على نماذج النشر الس…
rss:BleepingComputer
—
04:18 KSA
نوافذ تسجيل دخول مريبة من Polyfill تظهر على مواقع Toshiba و Muji
حذرت شركة Toshiba العملاقة وتاجر التجزئة Muji من نوافذ تسجيل دخول مريبة تظهر على مواقعهما الإلكترونية قد تجمع بيانات المستخدمين. يتم حقن نصوص برمجية ضارة لاستخراج معلومات المصادقة من المستخدمين.
rss:Dark Reading
—
03:18 KSA
مقاييس خزانات الوقود المكشوفة تتعرض للهجوم في الولايات المتحدة
يستغل الفاعلون الخطرون مقاييس الخزانات المكشوفة على الإنترنت في محطات الوقود للوصول غير المصرح به وإحداث اضطرابات تشغيلية. يشكل هذا الضعف في أنظمة التحكم الصناعية مخاطر كبيرة على البنية التحتية لإمدا…
📰 أخبار الأمن السيبراني
1 مقال
مؤسسة النقد العربي السعودي تطلق متطلبات محسّنة للمرونة السيبرانية للمؤسسات المالية ضمن إطار العمل ال
03:15 KSA
أصدر البنك المركزي السعودي (ساما) تحديثات شاملة لإطار الأمن السيبراني، تفرض بروتوكولات أكثر صرامة للاستجابة للحوادث وإدارة مخاطر الأطراف الثالثة لجميع الجهات المالية المرخصة. تتماشى المتطلبات المحسّنة…
يتم تحديث هذه النشرة تلقائياً يومياً — آخر تحديث: 06 Jun 2026
أرشيف الثغرات ·
التهديدات ·
الأخبار