🇸🇦 النشرة الأمنية السعودية

ثغرة حرجة في محرك V8 بمتصفحات Chromium تسمح بقراءة وكتابة البيانات خارج حدود الذاكرة المخصصة. يمكن للمهاجمين استغلال هذه الثغرة عن بعد من خلال صفحات ويب مصممة بشكل خاص لتنفيذ أكواد عشوائية. تؤثر الثغرة على Google Chrome و Microsoft Edge و Opera وجميع المتصفحات الأخرى المبنية على …

ثغرة في نظام Arista EOS تتعلق بمقارنة غير مكتملة في آلية فك تغليف الحزم النفقية. عندما تتطابق عنوان IP الوجهة مع عنوان IP المكون لفك التغليف، قد يتم فك التغليف وإعادة توجيه الحزم بشكل غير صحيح. هذا قد يسمح بالوصول غير المصرح به وتعديل حركة المرور في البنية التحتية للشبكة.

The WP Captcha PRO (the premium version of the Advanced Google reCAPTCHA plugin, both have the same slug) plugin for WordPress is vulnerable to arbitrary file upload in all versions up to, and including, 5.38. This is due to a capability check in the save_ajax() function of the l…

The WP Captcha PRO (the premium version of the Advanced Google reCAPTCHA plugin, both have the same slug) plugin for WordPress is vulnerable to Authentication Bypass in all versions up to, and including, 5.38. This is due to the ajax_run_tool() AJAX handler relying solely on a no…

The Admin Columns plugin for WordPress is vulnerable to PHP Object Injection leading to Remote Code Execution in versions up to and including 7.0.18. This is due to the use of `unserialize()` without an `allowed_classes` restriction in the `IdsToCollection::get_ids_from_string()`…

In the Linux kernel, the following vulnerability has been resolved: power: supply: pm8916_lbc: Fix use-after-free for extcon in IRQ handler Using the `devm_` variant for requesting IRQ _before_ the `devm_` variant for allocating/registering the `extcon` handle, means that the `…

In the Linux kernel, the following vulnerability has been resolved: nfc: hci: shdlc: Stop timers and work before freeing context llc_shdlc_deinit() purges SHDLC skb queues and frees the llc_shdlc structure while its timers and state machine work may still be active. Timer call…

ثغرة Local File Inclusion في مكون WP User Manager تسمح للمهاجمين غير المصرحين بتضمين وتنفيذ ملفات PHP عشوائية على الخادم. يمكن استخدام هذه الثغرة لتجاوز عناصر التحكم في الوصول والحصول على بيانات حساسة أو تحقيق تنفيذ كود عشوائي. تؤثر الثغرة على جميع الإصدارات حتى الإصدار 2.9.17.

ثغرة حقن SQL في Jinher OA 1.0 تؤثر على ملف nextselectplan.aspx حيث يمكن للمهاجمين التلاعب بمعامل httpOID لتنفيذ أوامر SQL عشوائية. يمكن شن الهجوم عن بعد والاستغلال متاح علناً مع عدم استجابة البائع للإفصاح المبكر.

ثغرة SSRF في go-fastdfs-web تؤثر على نقطة نهاية التثبيت /install/checkServer في الإصدارات حتى 1.3.7. يمكن للمهاجمين البعيدين استغلال هذه الثغرة لتنفيذ طلبات غير مصرح بها من خادم التطبيق المتأثر. تم نشر الاستغلال علناً والبائع لم يستجب للإفصاح المسؤول.

A vulnerability has been found in GL.iNet GL-MT3000 up to 4.4.5. Affected is the function FUN_0042e200 of the file /cgi-bin/glc of the component SET_USER_PWD Handler. The manipulation of the argument Password leads to command injection. The attack can be initiated remotely. Upgra…

A vulnerability was identified in Chanjet CRM 1.0. This affects an unknown part of the file /tools/jxf_dump_systable.php of the component HTTP GET Request Handler. Such manipulation of the argument gblOrgID leads to sql injection. The attack may be launched remotely. The exploit …

إضافة MDJM Event Management في WordPress تحتوي على ثغرة تحميل ملفات تعسفية في دالة mdjm_send_comm_email بسبب عدم التحقق من نوع الملف أو الامتداد أو نوع MIME. يمكن للمسؤولين المصرح لهم تحميل ملفات قابلة للتنفيذ مما يؤدي إلى تنفيذ أكواد بعيدة على خوادم WordPress.

ثغرة Cross-Site Scripting (XSS) مخزنة في مكون All-In-One Security للـ WordPress تسمح لمهاجم غير مصرح بحقن كود JavaScript ضار عبر طلبات REST API. يحدث الهجوم عندما تكون ميزات تسجيل التصحيح وتعطيل REST API للمستخدمين غير المسجلين مفعّلة، حيث يتم تخزين الحمولة الضارة في قاعدة البيان…

تحتوي إضافة تكامل Freshsales لـ WordPress على ثغرة XSS مخزنة تسمح للمهاجمين غير المصرح لهم بحقن نصوص برمجية ضارة عبر بيانات نماذج الويب. يتم تنفيذ الحمولة الضارة عندما يفشل استدعاء واجهة برمجية لـ CRM ويقوم المسؤول بعرض تفاصيل سجل الأخطاء في لوحة تحكم WordPress.

تحتوي إضافة Booking Package للووردبريس على ثغرة في التحقق من الصلاحيات في نقطة نهاية AJAX المسماة package_app_action. يسمح هذا للمستخدمين المصرح لهم بمستوى محرر أو أعلى بتعديل أي حساب مستخدم بما في ذلك حسابات المسؤولين. يمكن للمهاجمين تغيير عناوين البريد الإلكتروني وكلمات المرور …

أنثروبيك تطلق نموذج كلود فيبل 5، لكنه متاح لفترة محدودة أطلقت أنثروبيك نموذج كلود فيبل 5 الجديد القائم على معمارية موديل ميثوس، وهو متاح لفترة محدودة. يتعلق هذا التطور باعتبارات أمان الذكاء الاصطناعي للمنظمات التي تقيم نماذج اللغة الكبيرة. قد يؤثر التوفر المحدود…

ثغرة يوم الصفر في Microsoft Defender 'RoguePlanet' تمنح صلاحيات SYSTEM تم اكتشاف ثغرة يوم الصفر في Microsoft Defender تُعرف باسم 'RoguePlanet' تسمح للمهاجمين برفع الصلاحيات إلى مستوى SYSTEM على أنظمة Windows المتأثرة. قد تؤدي هذه الثغرة الحرجة إلى اختر…

إلقاء اللوم على الذكاء الاصطناعي: تحديثات يوم الثلاثاء تصل إلى رقم قياسي 206 ثغرة أمنية أصدرت مايكروسوفت رقماً قياسياً بـ 206 تصحيح CVE في دورة يوم الثلاثاء الواحدة، مدفوعة بعمليات اكتشاف الثغرات المسرعة بالذكاء الاصطناعي. يشير هذا الاتجاه إلى أن المؤسسات ستواجه…

ثغرة في Microsoft Exchange تسمح للمهاجمين بانتحال أي عنوان بريد إلكتروني تسمح ثغرة تُعرف باسم 'Ghost-Sender' في Microsoft Exchange Online والتكوينات الهجينة الموجودة في الموقع للمهاجمين بانتحال عناوين البريد الإلكتروني من خلال استغلال خوادم البريد أو مرشحات البر…

ثلاثاء الرقع القياسي لشهر يونيو 2026 أصدرت مايكروسوفت حوالي 200 تصحيح أمني عبر أنظمة تشغيل ويندوز والبرامج المدعومة في يونيو 2026، مما يمثل رقماً قياسياً من الإصلاحات في دورة ثلاثاء الرقع الواحدة. تم تصنيف ما يقرب من 36 ثغرة أمنية بأنها حرجة، مما يشير إلى مخاطر …

ServiceNow تكشف عن حادثة أمنية تعرض بيانات العملاء كشفت ServiceNow عن حادثة أمنية حيث استغل المهاجمون ثغرة في نقطة نهاية API غير مصرح بها للوصول إلى بيانات العملاء من عدة نسخ. سمحت الثغرة بالاستعلام غير المصرح به للمعلومات الحساسة المخزنة في بيئات العملاء.

وكيل OpenClaw الذكي يقع فريسة هجمات التصيد الاحتيالي ويسرب بيانات المستخدمين أثبت باحثو الأمن أن وكيل البريد الإلكتروني OpenClaw القائم على الذكاء الاصطناعي عرضة لهجمات التصيد الاحتيالي، مما يسمح باستخراج بيانات المستخدمين من خلال تكتيكات الهندسة الاجتماعية المس…