📧 info@ciso.sa | 📱 +966550939344 | الرياض، المملكة العربية السعودية
عن المنصة الأسئلة الشائعة اتصل بنا شروط الخدمة سياسة الخصوصية 🌐 English
🔐

مرحباً — سجّل دخولك أو أنشئ حساباً للوصول الكامل.

🔑 دخول ✨ حساب جديد
🌐 EN تسجيل الدخول إنشاء حساب
🔧 صيانة مجدولة — السبت 2:00-4:00 صباحاً. قد تكون بعض الميزات غير متاحة مؤقتاً.    ●   
💎
خطة Pro بخصم 50% احصل على جميع ميزات AI والتقارير غير المحدودة والدعم ذي الأولوية. الترقية الآن
مركز البحث
ESC للإغلاق
تنقل فتح Ctrl+K بحث
CISO Consulting
Global vulnerability التعليم العالي CRITICAL 2h Global data_breach القطاع الحكومي HIGH 2h Global supply_chain تطوير البرمجيات والمجتمعات مفتوحة المصدر CRITICAL 2h Global malware تطوير البرمجيات CRITICAL 3h Global phishing قطاعات متعددة HIGH 3h Global vulnerability تطبيقات الويب CRITICAL 4h Global apt البنية التحتية الحرجة CRITICAL 4h Global ransomware قطاعات متعددة CRITICAL 4h Global supply_chain تطوير البرمجيات، البنية التحتية لتكنولوجيا المعلومات، التكنولوجيا CRITICAL 5h Global vulnerability,data_breach,general التكنولوجيا، أنظمة التحكم الصناعي، الاتصالات HIGH 6h Global vulnerability التعليم العالي CRITICAL 2h Global data_breach القطاع الحكومي HIGH 2h Global supply_chain تطوير البرمجيات والمجتمعات مفتوحة المصدر CRITICAL 2h Global malware تطوير البرمجيات CRITICAL 3h Global phishing قطاعات متعددة HIGH 3h Global vulnerability تطبيقات الويب CRITICAL 4h Global apt البنية التحتية الحرجة CRITICAL 4h Global ransomware قطاعات متعددة CRITICAL 4h Global supply_chain تطوير البرمجيات، البنية التحتية لتكنولوجيا المعلومات، التكنولوجيا CRITICAL 5h Global vulnerability,data_breach,general التكنولوجيا، أنظمة التحكم الصناعي، الاتصالات HIGH 6h Global vulnerability التعليم العالي CRITICAL 2h Global data_breach القطاع الحكومي HIGH 2h Global supply_chain تطوير البرمجيات والمجتمعات مفتوحة المصدر CRITICAL 2h Global malware تطوير البرمجيات CRITICAL 3h Global phishing قطاعات متعددة HIGH 3h Global vulnerability تطبيقات الويب CRITICAL 4h Global apt البنية التحتية الحرجة CRITICAL 4h Global ransomware قطاعات متعددة CRITICAL 4h Global supply_chain تطوير البرمجيات، البنية التحتية لتكنولوجيا المعلومات، التكنولوجيا CRITICAL 5h Global vulnerability,data_breach,general التكنولوجيا، أنظمة التحكم الصناعي، الاتصالات HIGH 6h
الثغرات

CVE-2018-25257

مرتفع
CWE-89 — نوع الضعف
نُشر: Apr 12, 2026  ·  آخر تحديث: Apr 19, 2026  ·  المصدر: NVD
CVSS v3
7.1
🔗 NVD الرسمي
📄 الوصف (الإنجليزية)

Adianti Framework 5.5.0 and 5.6.0 contains an SQL injection vulnerability that allows authenticated users to manipulate database queries by injecting SQL code through the name field in SystemProfileForm. Attackers can submit crafted SQL statements in the profile edit endpoint to modify user credentials and gain administrative access.

🤖 ملخص AI

CVE-2018-25257 is a high-severity SQL injection vulnerability in Adianti Framework versions 5.5.0 and 5.6.0 that allows authenticated users to inject malicious SQL code through the SystemProfileForm name field. Attackers can exploit this to modify database queries, escalate privileges, and gain administrative access. The vulnerability poses significant risk to Saudi organizations using this framework for critical business applications, particularly in government and financial sectors where user profile management is essential.

📄 الوصف (العربية)

🤖 التحليل الذكي آخر تحليل: May 9, 2026 08:37
🇸🇦 التأثير على المملكة العربية السعودية
This vulnerability primarily impacts Saudi organizations in Government (NCA, MOCI), Banking (SAMA-regulated institutions), and Healthcare sectors that utilize Adianti Framework for internal management systems. The SQL injection vulnerability allows authenticated insiders or compromised accounts to escalate privileges to administrative level, potentially leading to unauthorized access to sensitive citizen data, financial records, and critical infrastructure information. Organizations running legacy Adianti Framework versions 5.5.0-5.6.0 face elevated risk of data breach and compliance violations under NCA ECC 2024 and SAMA CSF frameworks.
🏢 القطاعات السعودية المتأثرة
Government Banking Healthcare Telecommunications Energy Education Insurance
⚖️ درجة المخاطر السعودية (AI)
7.8
/ 10.0
🔧 Remediation Steps (English)
IMMEDIATE ACTIONS:

1. Identify all systems running Adianti Framework versions 5.5.0 and 5.6.0 across your infrastructure

2. Restrict access to SystemProfileForm endpoints to essential administrative users only

3. Implement database activity monitoring (DAM) to detect anomalous SQL queries

4. Review audit logs for suspicious profile modification activities



PATCHING GUIDANCE:

1. Upgrade to Adianti Framework version 5.7.0 or later immediately

2. If upgrade is not immediately possible, apply input validation patches from vendor

3. Test patches in non-production environment before deployment



COMPENSATING CONTROLS (if patching delayed):

1. Implement Web Application Firewall (WAF) rules to block SQL injection patterns in profile edit requests

2. Apply strict input validation on the name field: whitelist alphanumeric characters and common name formats only

3. Use parameterized queries/prepared statements for all database interactions

4. Enforce principle of least privilege for database accounts

5. Enable SQL query logging and alerting for suspicious patterns



DETECTION RULES:

1. Monitor for SQL keywords (UNION, SELECT, DROP, INSERT, UPDATE) in SystemProfileForm name field submissions

2. Alert on profile modification requests containing special characters: ', ", --, ;, /*

3. Track failed authentication attempts followed by successful administrative access

4. Monitor for unusual database query patterns from application service accounts
🔧 خطوات المعالجة (العربية)
الإجراءات الفورية:

1. تحديد جميع الأنظمة التي تعمل بإصدارات Adianti Framework 5.5.0 و5.6.0 عبر البنية التحتية

2. تقييد الوصول إلى نقاط نهاية SystemProfileForm للمستخدمين الإداريين الأساسيين فقط

3. تنفيذ مراقبة نشاط قاعدة البيانات (DAM) للكشف عن استعلامات SQL الشاذة

4. مراجعة سجلات التدقيق للأنشطة المريبة في تعديل الملف الشخصي



إرشادات التصحيح:

1. الترقية إلى إصدار Adianti Framework 5.7.0 أو أحدث فوراً

2. إذا لم يكن الترقية ممكنة فوراً، طبق تصحيحات التحقق من الإدخال من المورد

3. اختبر التصحيحات في بيئة غير الإنتاج قبل النشر



الضوابط البديلة (إذا تأخر التصحيح):

1. تنفيذ قواعد جدار حماية تطبيقات الويب (WAF) لحجب أنماط حقن SQL في طلبات تعديل الملف الشخصي

2. تطبيق التحقق الصارم من الإدخال على حقل الاسم: السماح بالأحرف الأبجدية الرقمية فقط وتنسيقات الأسماء الشائعة

3. استخدام الاستعلامات المعاملة/البيانات المحضرة لجميع تفاعلات قاعدة البيانات

4. فرض مبدأ أقل امتياز لحسابات قاعدة البيانات

5. تفعيل تسجيل الاستعلامات والتنبيهات لأنماط مريبة



قواعد الكشف:

1. مراقبة كلمات SQL الرئيسية (UNION, SELECT, DROP, INSERT, UPDATE) في تقديمات حقل الاسم

2. التنبيه على طلبات تعديل الملف الشخصي التي تحتوي على أحرف خاصة: ', ", --, ;, /*

3. تتبع محاولات المصادقة الفاشلة متبوعة بالوصول الإداري الناجح

4. مراقبة أنماط استعلامات قاعدة البيانات غير العادية من حسابات خدمة التطبيق
📋 خريطة الامتثال التنظيمي
🟢 NCA ECC 2024
A.5.1.1 - Information Security Policies (access control to profile management) A.6.1.2 - User Access Management (privilege escalation prevention) A.6.2.1 - User Registration and De-registration (profile integrity) A.7.1.1 - Cryptography (data protection from unauthorized modification) A.8.2.3 - Handling of Assets (secure application development) A.12.2.1 - Change Management (patch deployment procedures) A.12.4.1 - Event Logging (detection of SQL injection attempts)
🔵 SAMA CSF
ID.AM-2 - Asset Management (inventory of Adianti Framework instances) PR.AC-1 - Access Control Policy (restrict SystemProfileForm access) PR.AC-4 - Access Rights (principle of least privilege) PR.DS-2 - Data Security (input validation and parameterized queries) DE.CM-1 - Detection Processes (SQL injection pattern detection) RS.MI-2 - Incident Response (privilege escalation investigation)
🟡 ISO 27001:2022
A.5.1.1 - Information security policies and procedures A.6.1.2 - User registration and access rights management A.6.2.2 - User access provisioning and de-provisioning A.8.1.1 - Secure development policy A.8.2.3 - Secure development and change management A.12.4.1 - Event logging and monitoring A.14.2.1 - Secure development requirements
📊 CVSS Score
7.1
/ 10.0 — مرتفع
📊 CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:L/A:N
Attack VectorN — None / Network
Attack ComplexityL — Low / Local
Privileges RequiredL — Low / Local
User InteractionN — None / Network
ScopeU — Unchanged
ConfidentialityH — High
IntegrityL — Low / Local
AvailabilityN — None / Network
📋 حقائق سريعة
الخطورة مرتفع
CVSS Score7.1
CWECWE-89
EPSS0.03%
اختراق متاح لا
تصحيح متاح ✗ لا
تاريخ النشر 2026-04-12
المصدر nvd
المشاهدات 5
🇸🇦 درجة المخاطر السعودية
7.8
/ 10.0 — مخاطر السعودية
أولوية: HIGH
🏷️ الوسوم
CWE-89
⚡ إجراءات
🔗 NVD Official Page ⚡ Exploit-DB Search 🐙 GitHub PoC Search 🎯 MITRE ATT&CK 📊 CVE Details
مشاركة ثغرة
LinkedIn X / Twitter WhatsApp Telegram

💬 التعليقات

0
جارٍ التحميل
📣 وجدت هذا مفيداً؟
شاركه مع شبكة الأمن السيبراني الخاصة بك
in لينكدإن 𝕏 تويتر 💬 واتساب ✈ تليجرام
🍪 إعدادات الخصوصية
سيزو للاستشارات — متوافق مع نظام حماية البيانات الشخصية السعودي (PDPL)
نستخدم ملفات تعريف الارتباط والتقنيات المشابهة لتوفير أفضل تجربة على منصتنا. يمكنك اختيار الأنواع التي تقبلها.
🔒
ملفات ضرورية Always On
مطلوبة لعمل الموقع بشكل صحيح. لا يمكن تعطيلها.
📋 الجلسات، CSRF، المصادقة، تفضيلات اللغة
📊
ملفات التحليلات
تساعدنا في فهم كيفية استخدام الزوار للموقع وتحسين الأداء.
📋 إحصائيات الصفحات، مدة الجلسة، مصدر الزيارة
⚙️
ملفات وظيفية
تتيح ميزات محسنة مثل تخصيص المحتوى والتفضيلات.
📋 السمة المظلمة/الفاتحة، حجم الخط، لوحات التحكم المخصصة
📣
ملفات تسويقية
تُستخدم لتقديم محتوى وإعلانات ذات صلة باهتماماتك.
📋 تتبع الحملات، إعادة الاستهداف، تحليلات وسائل التواصل
سياسة الخصوصية →
مساعد CISO الذكي
اسألني أي شيء · وثائق · دعم
🔐

عرّفنا بنفسك

أدخل بياناتك للوصول إلى المساعد الكامل

معلوماتك آمنة ولن تُشارك
💬
المساعد السيبراني
متصل — يرد في ثوانٍ
5 / 5
🔐 تحقق من هويتك

أدخل بريدك الإلكتروني لإرسال رمز تحقق قبل إرسال طلب الدعم.

Enter للإرسال · / للأوامر 0 / 2000
CISO AI · مدعوم بالذكاء الاصطناعي
✦ استطلاع سريع ساعدنا في تحسين منصة سيزو للاستشارات ملاحظاتك تشكّل مستقبل منصتنا — لا تستغرق سوى دقيقتين.
⚠ يرجى الإجابة على هذا السؤال للمتابعة

كيف تقيّم تجربتك العامة مع منصتنا؟

قيّم من 1 (ضعيف) إلى 5 (ممتاز)

🎉
شكراً جزيلاً!
تم تسجيل إجابتك بنجاح.