📧 info@ciso.sa | 📱 +966550939344 | الرياض، المملكة العربية السعودية
عن المنصة الأسئلة الشائعة اتصل بنا شروط الخدمة سياسة الخصوصية 🌐 English
🔐

مرحباً — سجّل دخولك أو أنشئ حساباً للوصول الكامل.

🔑 دخول ✨ حساب جديد
🌐 EN تسجيل الدخول إنشاء حساب
🔧 صيانة مجدولة — السبت 2:00-4:00 صباحاً. قد تكون بعض الميزات غير متاحة مؤقتاً.    ●   
💎
خطة Pro بخصم 50% احصل على جميع ميزات AI والتقارير غير المحدودة والدعم ذي الأولوية. الترقية الآن
مركز البحث
ESC للإغلاق
تنقل فتح Ctrl+K بحث
CISO Consulting
Global vulnerability تكنولوجيا المعلومات والبنية التحتية HIGH 41m Global data_breach التعليم HIGH 55m Global data_breach التعليم HIGH 1h Global vulnerability تكنولوجيا المعلومات CRITICAL 2h Global supply_chain تطوير البرمجيات والتكنولوجيا HIGH 3h Global vulnerability تكنولوجيا المعلومات والاتصالات CRITICAL 3h Global apt الخدمات المالية والمصرفية HIGH 9h Global vulnerability قطاع التكنولوجيا وتطوير البرمجيات HIGH 12h Global vulnerability الحكومة والوكالات الفيدرالية CRITICAL 12h Global supply_chain تطوير البرمجيات والنظم البيئية مفتوحة المصدر HIGH 12h Global vulnerability تكنولوجيا المعلومات والبنية التحتية HIGH 41m Global data_breach التعليم HIGH 55m Global data_breach التعليم HIGH 1h Global vulnerability تكنولوجيا المعلومات CRITICAL 2h Global supply_chain تطوير البرمجيات والتكنولوجيا HIGH 3h Global vulnerability تكنولوجيا المعلومات والاتصالات CRITICAL 3h Global apt الخدمات المالية والمصرفية HIGH 9h Global vulnerability قطاع التكنولوجيا وتطوير البرمجيات HIGH 12h Global vulnerability الحكومة والوكالات الفيدرالية CRITICAL 12h Global supply_chain تطوير البرمجيات والنظم البيئية مفتوحة المصدر HIGH 12h Global vulnerability تكنولوجيا المعلومات والبنية التحتية HIGH 41m Global data_breach التعليم HIGH 55m Global data_breach التعليم HIGH 1h Global vulnerability تكنولوجيا المعلومات CRITICAL 2h Global supply_chain تطوير البرمجيات والتكنولوجيا HIGH 3h Global vulnerability تكنولوجيا المعلومات والاتصالات CRITICAL 3h Global apt الخدمات المالية والمصرفية HIGH 9h Global vulnerability قطاع التكنولوجيا وتطوير البرمجيات HIGH 12h Global vulnerability الحكومة والوكالات الفيدرالية CRITICAL 12h Global supply_chain تطوير البرمجيات والنظم البيئية مفتوحة المصدر HIGH 12h
الثغرات

CVE-2018-25342

مرتفع
CWE-89 — نوع الضعف
نُشر: May 23, 2026  ·  آخر تحديث: May 30, 2026  ·  المصدر: NVD
CVSS v3
8.2
🔗 NVD الرسمي
📄 الوصف (الإنجليزية)

Smartshop 1 contains a time-based blind SQL injection vulnerability that allows unauthenticated attackers to manipulate database queries by injecting SQL code through the 'searched' parameter in search.php. Attackers can send GET requests with malicious SQL payloads like SLEEP commands to extract sensitive database information including product details and system data.

🤖 ملخص AI

CVE-2018-25342 is a critical time-based blind SQL injection vulnerability in Smartshop 1 affecting the search functionality. Unauthenticated attackers can exploit the 'searched' parameter in search.php to manipulate database queries and extract sensitive information. With a CVSS score of 8.2 and no available patch, this vulnerability poses significant risk to e-commerce platforms operating in Saudi Arabia.

📄 الوصف (العربية)

🤖 التحليل الذكي آخر تحليل: May 26, 2026 18:32
🇸🇦 التأثير على المملكة العربية السعودية
This vulnerability primarily impacts Saudi e-commerce businesses, small to medium-sized retailers using Smartshop platform, and online marketplaces. High-risk sectors include: retail/e-commerce platforms, payment processing systems handling customer transactions, hospitality booking systems, and any organization storing customer PII (personal identifiable information) in Smartshop databases. Saudi organizations relying on Smartshop for customer data management face exposure of product catalogs, pricing information, customer records, and potentially payment-related data.
🏢 القطاعات السعودية المتأثرة
E-commerce/Retail Payment Processing Hospitality/Tourism Small to Medium Enterprises (SMEs) Online Marketplaces Customer Service Platforms
⚖️ درجة المخاطر السعودية (AI)
8.5
/ 10.0
🔧 Remediation Steps (English)
Immediate Actions:

1. Identify all systems running Smartshop 1 and isolate them from production if possible

2. Implement Web Application Firewall (WAF) rules to block SQL injection patterns in search parameters

3. Enable database query logging and monitoring for suspicious SLEEP/BENCHMARK commands



Compensating Controls:

1. Apply input validation: whitelist allowed characters in 'searched' parameter (alphanumeric, spaces, hyphens only)

2. Implement parameterized queries/prepared statements if source code access available

3. Restrict database user privileges to read-only for search operations

4. Deploy rate limiting on search.php to prevent automated exploitation

5. Enable Web Application Firewall signatures for time-based SQL injection detection



Detection Rules:

1. Monitor for SLEEP(), BENCHMARK(), WAITFOR commands in HTTP GET parameters

2. Alert on search requests with SQL keywords: UNION, SELECT, OR, AND with unusual timing

3. Track database response times exceeding normal thresholds for search queries

4. Log all search.php requests with parameter values for forensic analysis



Long-term:

1. Migrate to patched/maintained e-commerce platform

2. Conduct security code review of Smartshop implementation

3. Implement Web Application Firewall with SQL injection protection
🔧 خطوات المعالجة (العربية)
الإجراءات الفورية:

1. تحديد جميع الأنظمة التي تعمل بـ Smartshop 1 وعزلها عن الإنتاج إن أمكن

2. تطبيق قواعد جدار حماية تطبيقات الويب لحجب أنماط حقن SQL في معاملات البحث

3. تفعيل تسجيل استعلامات قاعدة البيانات ومراقبة أوامر SLEEP/BENCHMARK المريبة



الضوابط التعويضية:

1. تطبيق التحقق من المدخلات: قائمة بيضاء للأحرف المسموحة في معامل 'searched' (أبجدية رقمية وفراغات وشرطات فقط)

2. تطبيق الاستعلامات المعاملة/البيانات المحضرة إذا كان الوصول إلى الكود المصدري متاحاً

3. تقييد امتيازات مستخدم قاعدة البيانات للقراءة فقط لعمليات البحث

4. نشر تحديد معدل على search.php لمنع الاستغلال الآلي

5. تفعيل توقيعات جدار حماية تطبيقات الويب لكشف حقن SQL القائم على الوقت



قواعد الكشف:

1. مراقبة أوامر SLEEP و BENCHMARK و WAITFOR في معاملات HTTP GET

2. تنبيهات على طلبات البحث التي تحتوي على كلمات SQL مفتاحية مع توقيت غير عادي

3. تتبع أوقات استجابة قاعدة البيانات التي تتجاوز الحدود الطبيعية

4. تسجيل جميع طلبات search.php مع قيم المعاملات للتحليل الجنائي



المدى الطويل:

1. الهجرة إلى منصة تجارة إلكترونية محدثة/مدعومة

2. إجراء مراجعة أمان الكود لتطبيق Smartshop

3. تطبيق جدار حماية تطبيقات الويب مع حماية حقن SQL
📋 خريطة الامتثال التنظيمي
🟢 NCA ECC 2024
A.14.2.1 - Secure development policy and procedures A.14.2.5 - Secure development environment A.13.1.1 - Network controls and segregation A.12.4.1 - Event logging and monitoring A.12.4.3 - Administrator and operator logs
🔵 SAMA CSF
ID.GV-1 - Organizational cybersecurity policy PR.DS-1 - Data security and protection PR.AC-1 - Access control policy DE.CM-1 - Detection and analysis RS.MI-1 - Incident response and recovery
🟡 ISO 27001:2022
A.6.1.1 - Information security policies A.8.2.3 - Segregation of duties A.12.4.1 - Event logging A.14.2.1 - Secure development policy A.14.2.5 - Secure development environment
🟣 PCI DSS v4.0.1
Requirement 6.5.1 - Injection flaws prevention Requirement 10.2 - Implement automated audit trails Requirement 10.3 - Protect audit trail history
📊 CVSS Score
8.2
/ 10.0 — مرتفع
📊 CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:L/A:N
Attack VectorN — None / Network
Attack ComplexityL — Low / Local
Privileges RequiredN — None / Network
User InteractionN — None / Network
ScopeU — Unchanged
ConfidentialityH — High
IntegrityL — Low / Local
AvailabilityN — None / Network
📋 حقائق سريعة
الخطورة مرتفع
CVSS Score8.2
CWECWE-89
EPSS0.07%
اختراق متاح لا
تصحيح متاح ✗ لا
تاريخ النشر 2026-05-23
المصدر nvd
المشاهدات 1
🇸🇦 درجة المخاطر السعودية
8.5
/ 10.0 — مخاطر السعودية
أولوية: CRITICAL
🏷️ الوسوم
CWE-89
⚡ إجراءات
🔗 NVD Official Page ⚡ Exploit-DB Search 🐙 GitHub PoC Search 🎯 MITRE ATT&CK 📊 CVE Details
مشاركة ثغرة
LinkedIn X / Twitter WhatsApp Telegram
📣 وجدت هذا مفيداً؟
شاركه مع شبكة الأمن السيبراني الخاصة بك
in لينكدإن 𝕏 تويتر 💬 واتساب ✈ تليجرام
🍪 إعدادات الخصوصية
سيزو للاستشارات — متوافق مع نظام حماية البيانات الشخصية السعودي (PDPL)
نستخدم ملفات تعريف الارتباط والتقنيات المشابهة لتوفير أفضل تجربة على منصتنا. يمكنك اختيار الأنواع التي تقبلها.
🔒
ملفات ضرورية Always On
مطلوبة لعمل الموقع بشكل صحيح. لا يمكن تعطيلها.
📋 الجلسات، CSRF، المصادقة، تفضيلات اللغة
📊
ملفات التحليلات
تساعدنا في فهم كيفية استخدام الزوار للموقع وتحسين الأداء.
📋 إحصائيات الصفحات، مدة الجلسة، مصدر الزيارة
⚙️
ملفات وظيفية
تتيح ميزات محسنة مثل تخصيص المحتوى والتفضيلات.
📋 السمة المظلمة/الفاتحة، حجم الخط، لوحات التحكم المخصصة
📣
ملفات تسويقية
تُستخدم لتقديم محتوى وإعلانات ذات صلة باهتماماتك.
📋 تتبع الحملات، إعادة الاستهداف، تحليلات وسائل التواصل
سياسة الخصوصية →
مساعد CISO الذكي
اسألني أي شيء · وثائق · دعم
🔐

عرّفنا بنفسك

أدخل بياناتك للوصول إلى المساعد الكامل

معلوماتك آمنة ولن تُشارك
💬
المساعد السيبراني
متصل — يرد في ثوانٍ
5 / 5
🔐 تحقق من هويتك

أدخل بريدك الإلكتروني لإرسال رمز تحقق قبل إرسال طلب الدعم.

Enter للإرسال · / للأوامر 0 / 2000
CISO AI · مدعوم بالذكاء الاصطناعي
✦ استطلاع سريع ساعدنا في تحسين منصة سيزو للاستشارات ملاحظاتك تشكّل مستقبل منصتنا — لا تستغرق سوى دقيقتين.
⚠ يرجى الإجابة على هذا السؤال للمتابعة

كيف تقيّم تجربتك العامة مع منصتنا؟

قيّم من 1 (ضعيف) إلى 5 (ممتاز)

🎉
شكراً جزيلاً!
تم تسجيل إجابتك بنجاح.