📧 info@ciso.sa | 📱 +966550939344 | الرياض، المملكة العربية السعودية
عن المنصة الأسئلة الشائعة اتصل بنا شروط الخدمة سياسة الخصوصية 🌐 English
🔐

مرحباً — سجّل دخولك أو أنشئ حساباً للوصول الكامل.

🔑 دخول ✨ حساب جديد
🌐 EN تسجيل الدخول إنشاء حساب
🔧 صيانة مجدولة — السبت 2:00-4:00 صباحاً. قد تكون بعض الميزات غير متاحة مؤقتاً.    ●   
💎
خطة Pro بخصم 50% احصل على جميع ميزات AI والتقارير غير المحدودة والدعم ذي الأولوية. الترقية الآن
مركز البحث
ESC للإغلاق
تنقل فتح Ctrl+K بحث
CISO Consulting
Global phishing تكنولوجيا المعلومات HIGH 15m Global ransomware قطاعات متعددة CRITICAL 16m Global malware قطاعات متعددة CRITICAL 20m Global general الأمن السيبراني LOW 31m Global vulnerability تكنولوجيا المعلومات CRITICAL 36m Global vulnerability التكنولوجيا والبرمجيات CRITICAL 1h Global general تكنولوجيا الأمن السيبراني LOW 1h Global vulnerability مراكز البيانات والبنية التحتية الحرجة CRITICAL 2h Global general أمن المؤسسات والحوكمة HIGH 2h Global phishing الجمهور العام / قطاعات متعددة HIGH 2h Global phishing تكنولوجيا المعلومات HIGH 15m Global ransomware قطاعات متعددة CRITICAL 16m Global malware قطاعات متعددة CRITICAL 20m Global general الأمن السيبراني LOW 31m Global vulnerability تكنولوجيا المعلومات CRITICAL 36m Global vulnerability التكنولوجيا والبرمجيات CRITICAL 1h Global general تكنولوجيا الأمن السيبراني LOW 1h Global vulnerability مراكز البيانات والبنية التحتية الحرجة CRITICAL 2h Global general أمن المؤسسات والحوكمة HIGH 2h Global phishing الجمهور العام / قطاعات متعددة HIGH 2h Global phishing تكنولوجيا المعلومات HIGH 15m Global ransomware قطاعات متعددة CRITICAL 16m Global malware قطاعات متعددة CRITICAL 20m Global general الأمن السيبراني LOW 31m Global vulnerability تكنولوجيا المعلومات CRITICAL 36m Global vulnerability التكنولوجيا والبرمجيات CRITICAL 1h Global general تكنولوجيا الأمن السيبراني LOW 1h Global vulnerability مراكز البيانات والبنية التحتية الحرجة CRITICAL 2h Global general أمن المؤسسات والحوكمة HIGH 2h Global phishing الجمهور العام / قطاعات متعددة HIGH 2h
الثغرات

CVE-2018-25413

مرتفع
CWE-89 — نوع الضعف
نُشر: May 30, 2026  ·  آخر تحديث: Jun 6, 2026  ·  المصدر: NVD
CVSS v3
8.2
🔗 NVD الرسمي
📄 الوصف (الإنجليزية)

AiOPMSD Final 1.0.0 contains an SQL injection vulnerability that allows unauthenticated attackers to execute arbitrary SQL queries by injecting malicious code through the 'q' parameter. Attackers can send GET requests to search.php with crafted SQL payloads to extract sensitive database information including usernames, database names, and version details.

🤖 ملخص AI

CVE-2018-25413 is a critical SQL injection vulnerability in AiOPMSD Final 1.0.0 that allows unauthenticated attackers to execute arbitrary SQL queries through the 'q' parameter in search.php. This vulnerability enables complete database compromise including extraction of sensitive credentials, database structures, and system information. With a CVSS score of 8.2 and no available patch, this poses an immediate threat to any organization running this software.

📄 الوصف (العربية)

🤖 التحليل الذكي آخر تحليل: Jun 4, 2026 12:13
🇸🇦 التأثير على المملكة العربية السعودية
This vulnerability poses significant risk to Saudi organizations using AiOPMSD, particularly in government agencies, healthcare institutions, and educational organizations that may utilize this platform for data management. Banking and financial institutions using this software face critical risk of unauthorized access to customer data and financial records, violating SAMA regulations. Telecommunications and energy sector organizations could experience data exfiltration affecting operational security. The lack of authentication requirement makes this vulnerability exploitable from the internet without any credentials, creating an immediate exposure for any publicly accessible instance.
🏢 القطاعات السعودية المتأثرة
Government and Public Administration Healthcare and Medical Institutions Banking and Financial Services Education and Universities Telecommunications Energy and Utilities Manufacturing
⚖️ درجة المخاطر السعودية (AI)
8.8
/ 10.0
🔧 Remediation Steps (English)
IMMEDIATE ACTIONS:

1. Identify all instances of AiOPMSD Final 1.0.0 in your environment using network scanning and asset inventory tools

2. Immediately isolate or take offline any publicly accessible instances of AiOPMSD

3. Review web server access logs for suspicious GET requests to search.php with SQL keywords (UNION, SELECT, DROP, INSERT, etc.)

4. Conduct emergency database audit to identify unauthorized access or data exfiltration



PATCHING GUIDANCE:

1. Since no official patch is available, contact AiOPMSD vendor immediately for security update or migration path

2. If vendor support is unavailable, consider discontinuing use of AiOPMSD and migrating to alternative solutions

3. Evaluate upgrading to a newer version if available



COMPENSATING CONTROLS (if immediate patching impossible):

1. Implement Web Application Firewall (WAF) rules to block SQL injection patterns in 'q' parameter:

   - Block requests containing: UNION, SELECT, DROP, INSERT, UPDATE, DELETE, EXEC, SCRIPT

   - Implement strict input validation and parameterized query enforcement

2. Restrict network access to search.php using IP whitelisting and VPN requirements

3. Implement database-level access controls with least privilege principles

4. Enable comprehensive SQL query logging and monitoring

5. Deploy intrusion detection signatures for SQL injection attempts



DETECTION RULES:

1. Monitor for GET requests to search.php with SQL keywords in 'q' parameter

2. Alert on database error messages in HTTP responses (SQL syntax errors)

3. Track unusual database query patterns and data extraction attempts

4. Monitor for multiple failed authentication attempts followed by SQL injection attempts
🔧 خطوات المعالجة (العربية)
الإجراءات الفورية:

1. تحديد جميع نسخ AiOPMSD Final 1.0.0 في بيئتك باستخدام أدوات المسح والجرد

2. عزل أو إيقاف أي نسخة متاحة للجمهور من AiOPMSD فوراً

3. مراجعة سجلات الوصول لخادم الويب للبحث عن طلبات GET مريبة إلى search.php تحتوي على كلمات SQL

4. إجراء تدقيق قاعدة بيانات طارئ لتحديد الوصول غير المصرح به أو تسرب البيانات



إرشادات التصحيح:

1. اتصل بمورد AiOPMSD فوراً للحصول على تحديث أمني أو مسار هجرة

2. إذا كان دعم المورد غير متاح، فكر في التوقف عن استخدام AiOPMSD والهجرة إلى حلول بديلة

3. قيّم الترقية إلى إصدار أحدث إن أمكن



الضوابط التعويضية:

1. تطبيق قواعد جدار حماية تطبيقات الويب لحظر أنماط حقن SQL في معامل 'q'

2. تقييد الوصول إلى search.php باستخدام القوائم البيضاء ومتطلبات VPN

3. تطبيق ضوابط الوصول على مستوى قاعدة البيانات

4. تفعيل تسجيل استعلامات SQL الشامل والمراقبة

5. نشر توقيعات كشف الاختراق لمحاولات حقن SQL



قواعد الكشف:

1. مراقبة طلبات GET إلى search.php التي تحتوي على كلمات SQL في معامل 'q'

2. التنبيه على رسائل خطأ قاعدة البيانات في استجابات HTTP

3. تتبع أنماط استعلامات قاعدة البيانات غير العادية

4. مراقبة محاولات الوصول غير المصرح به متبوعة بمحاولات حقن SQL
📋 خريطة الامتثال التنظيمي
🟢 NCA ECC 2024
A.14.2.1 - Secure development policy and procedures A.14.2.5 - Secure development environment A.12.6.1 - Management of technical vulnerabilities A.12.2.1 - Monitoring and logging of access to information
🔵 SAMA CSF
ID.RA-1 - Asset management and vulnerability identification PR.AC-1 - Access control and authentication DE.CM-1 - Detection and monitoring of unauthorized access RS.MI-1 - Incident response and containment
🟡 ISO 27001:2022
A.12.2.1 - Information systems audit logging A.12.6.1 - Management of technical vulnerabilities A.14.2.1 - Secure development policy A.14.2.5 - Secure development environment
🟣 PCI DSS v4.0.1
6.5.1 - Injection flaws prevention 6.2 - Security patches and updates 10.2 - Logging and monitoring of access
📊 CVSS Score
8.2
/ 10.0 — مرتفع
📊 CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:L/A:N
Attack VectorN — None / Network
Attack ComplexityL — Low / Local
Privileges RequiredN — None / Network
User InteractionN — None / Network
ScopeU — Unchanged
ConfidentialityH — High
IntegrityL — Low / Local
AvailabilityN — None / Network
📋 حقائق سريعة
الخطورة مرتفع
CVSS Score8.2
CWECWE-89
EPSS0.07%
اختراق متاح لا
تصحيح متاح ✗ لا
تاريخ النشر 2026-05-30
المصدر nvd
المشاهدات 1
🇸🇦 درجة المخاطر السعودية
8.8
/ 10.0 — مخاطر السعودية
أولوية: CRITICAL
🏷️ الوسوم
CWE-89
⚡ إجراءات
🔗 NVD Official Page ⚡ Exploit-DB Search 🐙 GitHub PoC Search 🎯 MITRE ATT&CK 📊 CVE Details
مشاركة ثغرة
LinkedIn X / Twitter WhatsApp Telegram
📣 وجدت هذا مفيداً؟
شاركه مع شبكة الأمن السيبراني الخاصة بك
in لينكدإن 𝕏 تويتر 💬 واتساب ✈ تليجرام
🍪 إعدادات الخصوصية
سيزو للاستشارات — متوافق مع نظام حماية البيانات الشخصية السعودي (PDPL)
نستخدم ملفات تعريف الارتباط والتقنيات المشابهة لتوفير أفضل تجربة على منصتنا. يمكنك اختيار الأنواع التي تقبلها.
🔒
ملفات ضرورية Always On
مطلوبة لعمل الموقع بشكل صحيح. لا يمكن تعطيلها.
📋 الجلسات، CSRF، المصادقة، تفضيلات اللغة
📊
ملفات التحليلات
تساعدنا في فهم كيفية استخدام الزوار للموقع وتحسين الأداء.
📋 إحصائيات الصفحات، مدة الجلسة، مصدر الزيارة
⚙️
ملفات وظيفية
تتيح ميزات محسنة مثل تخصيص المحتوى والتفضيلات.
📋 السمة المظلمة/الفاتحة، حجم الخط، لوحات التحكم المخصصة
📣
ملفات تسويقية
تُستخدم لتقديم محتوى وإعلانات ذات صلة باهتماماتك.
📋 تتبع الحملات، إعادة الاستهداف، تحليلات وسائل التواصل
سياسة الخصوصية →
مساعد CISO الذكي
اسألني أي شيء · وثائق · دعم
🔐

عرّفنا بنفسك

أدخل بياناتك للوصول إلى المساعد الكامل

معلوماتك آمنة ولن تُشارك
💬
المساعد السيبراني
متصل — يرد في ثوانٍ
5 / 5
🔐 تحقق من هويتك

أدخل بريدك الإلكتروني لإرسال رمز تحقق قبل إرسال طلب الدعم.

Enter للإرسال · / للأوامر 0 / 2000
CISO AI · مدعوم بالذكاء الاصطناعي
✦ استطلاع سريع ساعدنا في تحسين منصة سيزو للاستشارات ملاحظاتك تشكّل مستقبل منصتنا — لا تستغرق سوى دقيقتين.
⚠ يرجى الإجابة على هذا السؤال للمتابعة

كيف تقيّم تجربتك العامة مع منصتنا؟

قيّم من 1 (ضعيف) إلى 5 (ممتاز)

🎉
شكراً جزيلاً!
تم تسجيل إجابتك بنجاح.