📧 info@ciso.sa | 📱 +966550939344 | الرياض، المملكة العربية السعودية
عن المنصة الأسئلة الشائعة اتصل بنا شروط الخدمة سياسة الخصوصية 🌐 English
🔐

مرحباً — سجّل دخولك أو أنشئ حساباً للوصول الكامل.

🔑 دخول ✨ حساب جديد
🌐 EN تسجيل الدخول إنشاء حساب
🔧 صيانة مجدولة — السبت 2:00-4:00 صباحاً. قد تكون بعض الميزات غير متاحة مؤقتاً.    ●   
💎
خطة Pro بخصم 50% احصل على جميع ميزات AI والتقارير غير المحدودة والدعم ذي الأولوية. الترقية الآن
مركز البحث
ESC للإغلاق
تنقل فتح Ctrl+K بحث
CISO Consulting
Global general الذكاء الاصطناعي وتطوير البرمجيات LOW 53m Global general الذكاء الاصطناعي والأمن السيبراني MEDIUM 1h Global malware تطوير البرمجيات / التكنولوجيا HIGH 1h Global vulnerability تكنولوجيا المعلومات HIGH 2h Global data_breach قطاع المياه والبنية التحتية الحساسة HIGH 2h Global general خدمات الأمن السيبراني HIGH 2h Global data_breach الصيدلة والأدوية HIGH 3h Global vulnerability التكنولوجيا والذكاء الاصطناعي CRITICAL 4h Global vulnerability تكنولوجيا المعلومات CRITICAL 4h Global phishing قطاع الألعاب والترفيه HIGH 4h Global general الذكاء الاصطناعي وتطوير البرمجيات LOW 53m Global general الذكاء الاصطناعي والأمن السيبراني MEDIUM 1h Global malware تطوير البرمجيات / التكنولوجيا HIGH 1h Global vulnerability تكنولوجيا المعلومات HIGH 2h Global data_breach قطاع المياه والبنية التحتية الحساسة HIGH 2h Global general خدمات الأمن السيبراني HIGH 2h Global data_breach الصيدلة والأدوية HIGH 3h Global vulnerability التكنولوجيا والذكاء الاصطناعي CRITICAL 4h Global vulnerability تكنولوجيا المعلومات CRITICAL 4h Global phishing قطاع الألعاب والترفيه HIGH 4h Global general الذكاء الاصطناعي وتطوير البرمجيات LOW 53m Global general الذكاء الاصطناعي والأمن السيبراني MEDIUM 1h Global malware تطوير البرمجيات / التكنولوجيا HIGH 1h Global vulnerability تكنولوجيا المعلومات HIGH 2h Global data_breach قطاع المياه والبنية التحتية الحساسة HIGH 2h Global general خدمات الأمن السيبراني HIGH 2h Global data_breach الصيدلة والأدوية HIGH 3h Global vulnerability التكنولوجيا والذكاء الاصطناعي CRITICAL 4h Global vulnerability تكنولوجيا المعلومات CRITICAL 4h Global phishing قطاع الألعاب والترفيه HIGH 4h
الثغرات

CVE-2018-25249

متوسط
MyBB My Arcade Plugin 1.3 contains a persistent cross-site scripting vulnerability that allows authenticated users to in
CWE-79 — نوع الضعف
نُشر: Apr 4, 2026  ·  آخر تحديث: Apr 7, 2026  ·  المصدر: NVD
CVSS v3
6.4
🔗 NVD الرسمي
📄 الوصف (الإنجليزية)

MyBB My Arcade Plugin 1.3 contains a persistent cross-site scripting vulnerability that allows authenticated users to inject malicious scripts through arcade game score comments. Attackers can add crafted HTML and JavaScript payloads in the comment field that execute when other users view or edit the comment.

🤖 ملخص AI

CVE-2018-25249 is a persistent XSS vulnerability in MyBB My Arcade Plugin 1.3 affecting authenticated users' ability to inject malicious scripts through game score comments. While requiring authentication and lacking public exploits, the vulnerability poses a medium risk as it can compromise user sessions and enable lateral movement within MyBB installations. Organizations using MyBB forums with the My Arcade plugin should prioritize mitigation given the absence of official patches.

📄 الوصف (العربية)

🤖 التحليل الذكي آخر تحليل: May 13, 2026 08:49
🇸🇦 التأثير على المملكة العربية السعودية
This vulnerability primarily affects Saudi organizations operating community forums, educational platforms, and internal communication systems using MyBB. Government agencies, universities, and large enterprises using MyBB for employee engagement or public forums are at moderate risk. The vulnerability enables authenticated attackers (employees, registered users) to execute malicious scripts affecting other users' browsers, potentially leading to credential theft, session hijacking, or malware distribution. Saudi financial institutions and government entities using MyBB for customer/citizen engagement face reputational and operational risks.
🏢 القطاعات السعودية المتأثرة
Government Education Healthcare Telecommunications Financial Services Retail Media and Publishing
⚖️ درجة المخاطر السعودية (AI)
5.8
/ 10.0
🔧 Remediation Steps (English)
Immediate Actions:

1. Audit all MyBB installations to identify those running My Arcade Plugin version 1.3

2. Disable the My Arcade plugin immediately if not critical to operations

3. Restrict access to arcade game features to trusted users only

4. Review audit logs for suspicious comment activity in arcade sections



Patching Guidance:

1. Contact MyBB plugin developer for security updates or patches

2. If no patch available, implement input validation and output encoding on comment fields

3. Apply Content Security Policy (CSP) headers to prevent inline script execution

4. Implement HTML sanitization libraries (e.g., HTML Purifier) for all user-generated content



Compensating Controls:

1. Deploy Web Application Firewall (WAF) rules to detect and block XSS payloads in arcade comments

2. Enable browser-based XSS protection headers (X-XSS-Protection, X-Content-Type-Options)

3. Implement strict input validation: whitelist allowed characters in comment fields

4. Use HTTPOnly and Secure flags on session cookies to prevent JavaScript access

5. Monitor for suspicious JavaScript patterns in user comments



Detection Rules:

1. Alert on comments containing script tags, event handlers (onclick, onerror), or JavaScript protocols

2. Monitor for encoded payloads (base64, hex) in arcade comment fields

3. Track users with multiple failed comment submissions (potential payload testing)

4. Log all modifications to arcade game comments for forensic analysis
🔧 خطوات المعالجة (العربية)
الإجراءات الفورية:

1. تدقيق جميع تثبيتات MyBB لتحديد تلك التي تعمل بإضافة My Arcade الإصدار 1.3

2. تعطيل إضافة My Arcade فوراً إذا لم تكن حرجة للعمليات

3. تقييد الوصول إلى ميزات الألعاب للمستخدمين الموثوقين فقط

4. مراجعة سجلات التدقيق للنشاط المريب في أقسام الألعاب



إرشادات التصحيح:

1. التواصل مع مطور إضافة MyBB للحصول على تحديثات أمان أو تصحيحات

2. إذا لم يكن هناك تصحيح متاح، قم بتنفيذ التحقق من الإدخال والترميز على حقول التعليقات

3. تطبيق رؤوس سياسة أمان المحتوى (CSP) لمنع تنفيذ النصوص البرمجية المضمنة

4. تنفيذ مكتبات تنظيف HTML (مثل HTML Purifier) لجميع محتويات المستخدمين



الضوابط البديلة:

1. نشر قواعد جدار حماية تطبيقات الويب (WAF) للكشف عن حمولات XSS وحجبها في تعليقات الألعاب

2. تفعيل رؤوس حماية XSS المستندة إلى المتصفح (X-XSS-Protection, X-Content-Type-Options)

3. تنفيذ التحقق الصارم من الإدخال: قائمة بيضاء للأحرف المسموحة في حقول التعليقات

4. استخدام أعلام HTTPOnly و Secure على ملفات تعريف الجلسة لمنع وصول JavaScript

5. مراقبة أنماط JavaScript المريبة في تعليقات المستخدمين



قواعد الكشف:

1. تنبيه على التعليقات التي تحتوي على علامات script أو معالجات الأحداث (onclick, onerror) أو بروتوكولات JavaScript

2. مراقبة الحمولات المشفرة (base64, hex) في حقول تعليقات الألعاب

3. تتبع المستخدمين الذين لديهم عدة محاولات تعليقات فاشلة (اختبار حمولة محتمل)

4. تسجيل جميع التعديلات على تعليقات ألعاب الأركيد للتحليل الجنائي
📋 خريطة الامتثال التنظيمي
🟢 NCA ECC 2024
ECC 2024 A.14.2.1 - Information security requirements for supplier relationships ECC 2024 A.14.2.5 - Addressing information security in supplier agreements ECC 2024 A.5.23 - Web application security controls
🔵 SAMA CSF
SAMA CSF ID.BE-3 - Organizational resilience SAMA CSF PR.DS-1 - Data security and protection SAMA CSF PR.DS-6 - Integrity checking mechanisms SAMA CSF DE.CM-1 - Detection and analysis
🟡 ISO 27001:2022
ISO 27001:2022 A.5.23 - Web application security ISO 27001:2022 A.8.22 - Secure development policy ISO 27001:2022 A.8.24 - Protection of development, test and acceptance environments ISO 27001:2022 A.8.25 - Secure development life cycle
🟣 PCI DSS v4.0.1
PCI DSS 6.5.7 - Cross-site scripting prevention PCI DSS 6.5.1 - Injection flaws prevention PCI DSS 6.2 - Security patches and updates
📊 CVSS Score
6.4
/ 10.0 — متوسط
📊 CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:L/I:L/A:N
Attack VectorN — None / Network
Attack ComplexityL — Low / Local
Privileges RequiredL — Low / Local
User InteractionN — None / Network
ScopeC — Changed
ConfidentialityL — Low / Local
IntegrityL — Low / Local
AvailabilityN — None / Network
📋 حقائق سريعة
الخطورة متوسط
CVSS Score6.4
CWECWE-79
EPSS0.03%
اختراق متاح لا
تصحيح متاح ✗ لا
تاريخ النشر 2026-04-04
المصدر nvd
المشاهدات 5
🇸🇦 درجة المخاطر السعودية
5.8
/ 10.0 — مخاطر السعودية
أولوية: HIGH
🏷️ الوسوم
CWE-79
⚡ إجراءات
🔗 NVD Official Page ⚡ Exploit-DB Search 🐙 GitHub PoC Search 🎯 MITRE ATT&CK 📊 CVE Details
مشاركة ثغرة
LinkedIn X / Twitter WhatsApp Telegram
📣 وجدت هذا مفيداً؟
شاركه مع شبكة الأمن السيبراني الخاصة بك
in لينكدإن 𝕏 تويتر 💬 واتساب ✈ تليجرام
🍪 إعدادات الخصوصية
سيزو للاستشارات — متوافق مع نظام حماية البيانات الشخصية السعودي (PDPL)
نستخدم ملفات تعريف الارتباط والتقنيات المشابهة لتوفير أفضل تجربة على منصتنا. يمكنك اختيار الأنواع التي تقبلها.
🔒
ملفات ضرورية Always On
مطلوبة لعمل الموقع بشكل صحيح. لا يمكن تعطيلها.
📋 الجلسات، CSRF، المصادقة، تفضيلات اللغة
📊
ملفات التحليلات
تساعدنا في فهم كيفية استخدام الزوار للموقع وتحسين الأداء.
📋 إحصائيات الصفحات، مدة الجلسة، مصدر الزيارة
⚙️
ملفات وظيفية
تتيح ميزات محسنة مثل تخصيص المحتوى والتفضيلات.
📋 السمة المظلمة/الفاتحة، حجم الخط، لوحات التحكم المخصصة
📣
ملفات تسويقية
تُستخدم لتقديم محتوى وإعلانات ذات صلة باهتماماتك.
📋 تتبع الحملات، إعادة الاستهداف، تحليلات وسائل التواصل
سياسة الخصوصية →
مساعد CISO الذكي
اسألني أي شيء · وثائق · دعم
🔐

عرّفنا بنفسك

أدخل بياناتك للوصول إلى المساعد الكامل

معلوماتك آمنة ولن تُشارك
💬
المساعد السيبراني
متصل — يرد في ثوانٍ
5 / 5
🔐 تحقق من هويتك

أدخل بريدك الإلكتروني لإرسال رمز تحقق قبل إرسال طلب الدعم.

Enter للإرسال · / للأوامر 0 / 2000
CISO AI · مدعوم بالذكاء الاصطناعي
✦ استطلاع سريع ساعدنا في تحسين منصة سيزو للاستشارات ملاحظاتك تشكّل مستقبل منصتنا — لا تستغرق سوى دقيقتين.
⚠ يرجى الإجابة على هذا السؤال للمتابعة

كيف تقيّم تجربتك العامة مع منصتنا؟

قيّم من 1 (ضعيف) إلى 5 (ممتاز)

🎉
شكراً جزيلاً!
تم تسجيل إجابتك بنجاح.