📧 info@ciso.sa | 📱 +966550939344 | الرياض، المملكة العربية السعودية
عن المنصة الأسئلة الشائعة اتصل بنا شروط الخدمة سياسة الخصوصية 🌐 English
🔐

مرحباً — سجّل دخولك أو أنشئ حساباً للوصول الكامل.

🔑 دخول ✨ حساب جديد
🌐 EN تسجيل الدخول إنشاء حساب
🔧 صيانة مجدولة — السبت 2:00-4:00 صباحاً. قد تكون بعض الميزات غير متاحة مؤقتاً.    ●   
💎
خطة Pro بخصم 50% احصل على جميع ميزات AI والتقارير غير المحدودة والدعم ذي الأولوية. الترقية الآن
مركز البحث
ESC للإغلاق
تنقل فتح Ctrl+K بحث
CISO Consulting
Global phishing تكنولوجيا المعلومات HIGH 16m Global ransomware قطاعات متعددة CRITICAL 18m Global malware قطاعات متعددة CRITICAL 21m Global general الأمن السيبراني LOW 33m Global vulnerability تكنولوجيا المعلومات CRITICAL 37m Global vulnerability التكنولوجيا والبرمجيات CRITICAL 1h Global general تكنولوجيا الأمن السيبراني LOW 1h Global vulnerability مراكز البيانات والبنية التحتية الحرجة CRITICAL 2h Global general أمن المؤسسات والحوكمة HIGH 2h Global phishing الجمهور العام / قطاعات متعددة HIGH 2h Global phishing تكنولوجيا المعلومات HIGH 16m Global ransomware قطاعات متعددة CRITICAL 18m Global malware قطاعات متعددة CRITICAL 21m Global general الأمن السيبراني LOW 33m Global vulnerability تكنولوجيا المعلومات CRITICAL 37m Global vulnerability التكنولوجيا والبرمجيات CRITICAL 1h Global general تكنولوجيا الأمن السيبراني LOW 1h Global vulnerability مراكز البيانات والبنية التحتية الحرجة CRITICAL 2h Global general أمن المؤسسات والحوكمة HIGH 2h Global phishing الجمهور العام / قطاعات متعددة HIGH 2h Global phishing تكنولوجيا المعلومات HIGH 16m Global ransomware قطاعات متعددة CRITICAL 18m Global malware قطاعات متعددة CRITICAL 21m Global general الأمن السيبراني LOW 33m Global vulnerability تكنولوجيا المعلومات CRITICAL 37m Global vulnerability التكنولوجيا والبرمجيات CRITICAL 1h Global general تكنولوجيا الأمن السيبراني LOW 1h Global vulnerability مراكز البيانات والبنية التحتية الحرجة CRITICAL 2h Global general أمن المؤسسات والحوكمة HIGH 2h Global phishing الجمهور العام / قطاعات متعددة HIGH 2h
الثغرات

CVE-2018-25414

مرتفع
CWE-89 — نوع الضعف
نُشر: May 30, 2026  ·  آخر تحديث: Jun 6, 2026  ·  المصدر: NVD
CVSS v3
8.2
🔗 NVD الرسمي
📄 الوصف (الإنجليزية)

AiOPMSD Final 1.0.0 contains an SQL injection vulnerability that allows unauthenticated attackers to execute arbitrary SQL queries by injecting malicious code through the actor parameter. Attackers can send GET requests to actor.php with crafted SQL payloads in the actor parameter to extract sensitive database information including usernames, database names, and version details.

🤖 ملخص AI

CVE-2018-25414 is a critical SQL injection vulnerability in AiOPMSD Final 1.0.0 that allows unauthenticated attackers to execute arbitrary SQL queries through the actor parameter in actor.php. The vulnerability enables complete database compromise including extraction of sensitive credentials, database structures, and system information. With a CVSS score of 8.2 and no available patch, this poses an immediate threat to any organization running this legacy software.

📄 الوصف (العربية)

🤖 التحليل الذكي آخر تحليل: Jun 4, 2026 12:13
🇸🇦 التأثير على المملكة العربية السعودية
Organizations in Saudi Arabia using AiOPMSD Final 1.0.0 face critical risk of data breach. Primary impact sectors include: Government agencies (NCA, CITC) managing citizen databases; Banking sector (SAMA-regulated institutions) storing financial records and customer PII; Healthcare providers (MOH facilities) maintaining patient medical records; Energy sector (ARAMCO, utilities) managing operational databases; Telecommunications (STC, Mobily) storing subscriber information. The unauthenticated nature of this vulnerability makes it particularly dangerous as it requires no prior system access. Legacy systems in government and critical infrastructure are at highest risk.
🏢 القطاعات السعودية المتأثرة
Government Banking Healthcare Energy Telecommunications Critical Infrastructure
⚖️ درجة المخاطر السعودية (AI)
8.8
/ 10.0
🔧 Remediation Steps (English)
IMMEDIATE ACTIONS:

1. Identify all systems running AiOPMSD Final 1.0.0 across your organization

2. Isolate affected systems from production networks immediately if possible

3. Implement network-level access controls to restrict access to actor.php

4. Enable comprehensive logging and monitoring of all database queries



PATCHING GUIDANCE:

1. Contact AiOPMSD vendor for security updates or patches

2. If no patch available, plan immediate migration to alternative software

3. Evaluate vendor's security posture before selecting replacement



COMPENSATING CONTROLS (if immediate patching impossible):

1. Deploy Web Application Firewall (WAF) with SQL injection detection rules

2. Implement input validation and parameterized queries at application layer

3. Apply database-level access controls limiting query execution privileges

4. Restrict network access to actor.php using IP whitelisting

5. Disable direct HTTP access; require VPN authentication

6. Implement database activity monitoring (DAM) solutions



DETECTION RULES:

1. Monitor GET requests to actor.php containing SQL keywords (SELECT, UNION, DROP, INSERT, etc.)

2. Alert on unusual database query patterns or failed authentication attempts

3. Track database connections from web application user accounts

4. Monitor for extraction of system tables (information_schema, mysql.user, etc.)

5. Log all database errors and access attempts to sensitive tables
🔧 خطوات المعالجة (العربية)
الإجراءات الفورية:

1. تحديد جميع الأنظمة التي تقوم بتشغيل AiOPMSD Final 1.0.0 في المنظمة

2. عزل الأنظمة المتأثرة عن شبكات الإنتاج فوراً إن أمكن

3. تطبيق عناصر تحكم الوصول على مستوى الشبكة لتقييد الوصول إلى actor.php

4. تفعيل السجلات الشاملة ومراقبة جميع استعلامات قاعدة البيانات



إرشادات التصحيح:

1. التواصل مع مورد AiOPMSD للحصول على تحديثات أمان أو تصحيحات

2. إذا لم يكن هناك تصحيح متاح، خطط للهجرة الفورية إلى برنامج بديل

3. تقييم موقف أمان المورد قبل اختيار البديل



عناصر التحكم البديلة (إذا كان التصحيح الفوري مستحيلاً):

1. نشر جدار حماية تطبيقات الويب (WAF) مع قواعد كشف حقن SQL

2. تطبيق التحقق من صحة المدخلات والاستعلامات المعاملة على مستوى التطبيق

3. تطبيق عناصر تحكم الوصول على مستوى قاعدة البيانات

4. تقييد الوصول إلى الشبكة إلى actor.php باستخدام القائمة البيضاء للعناوين

5. تعطيل الوصول المباشر عبر HTTP؛ طلب مصادقة VPN

6. تطبيق حلول مراقبة نشاط قاعدة البيانات (DAM)



قواعد الكشف:

1. مراقبة طلبات GET إلى actor.php التي تحتوي على كلمات SQL (SELECT, UNION, DROP, INSERT، إلخ)

2. التنبيه على أنماط استعلامات قاعدة البيانات غير العادية

3. تتبع اتصالات قاعدة البيانات من حسابات مستخدمي تطبيقات الويب

4. مراقبة استخراج جداول النظام

5. تسجيل جميع أخطاء قاعدة البيانات ومحاولات الوصول
📋 خريطة الامتثال التنظيمي
🟢 NCA ECC 2024
ECC 2024 A.5.1.1 - Information Security Policies and Procedures ECC 2024 A.8.2.1 - User Access Management ECC 2024 A.12.2.1 - Restrictions on Software Installation ECC 2024 A.12.6.1 - Management of Technical Vulnerabilities ECC 2024 A.14.2.1 - Secure Development Policy
🔵 SAMA CSF
SAMA CSF ID.GV-1 - Organizational Governance SAMA CSF PR.AC-1 - Access Control Policy SAMA CSF PR.DS-1 - Data Security Management SAMA CSF DE.CM-1 - Detection and Analysis SAMA CSF RS.RP-1 - Response Planning
🟡 ISO 27001:2022
ISO 27001:2022 A.5.1 - Policies for Information Security ISO 27001:2022 A.8.1 - User Access Management ISO 27001:2022 A.8.3 - User Access Rights ISO 27001:2022 A.12.6 - Management of Technical Vulnerabilities ISO 27001:2022 A.14.2 - Secure Development Policy
🟣 PCI DSS v4.0.1
PCI DSS 6.2 - Security Patches and Updates PCI DSS 6.5.1 - Injection Flaws Prevention PCI DSS 11.2 - Vulnerability Scanning
📊 CVSS Score
8.2
/ 10.0 — مرتفع
📊 CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:L/A:N
Attack VectorN — None / Network
Attack ComplexityL — Low / Local
Privileges RequiredN — None / Network
User InteractionN — None / Network
ScopeU — Unchanged
ConfidentialityH — High
IntegrityL — Low / Local
AvailabilityN — None / Network
📋 حقائق سريعة
الخطورة مرتفع
CVSS Score8.2
CWECWE-89
EPSS0.07%
اختراق متاح لا
تصحيح متاح ✗ لا
تاريخ النشر 2026-05-30
المصدر nvd
المشاهدات 1
🇸🇦 درجة المخاطر السعودية
8.8
/ 10.0 — مخاطر السعودية
أولوية: CRITICAL
🏷️ الوسوم
CWE-89
⚡ إجراءات
🔗 NVD Official Page ⚡ Exploit-DB Search 🐙 GitHub PoC Search 🎯 MITRE ATT&CK 📊 CVE Details
مشاركة ثغرة
LinkedIn X / Twitter WhatsApp Telegram
📣 وجدت هذا مفيداً؟
شاركه مع شبكة الأمن السيبراني الخاصة بك
in لينكدإن 𝕏 تويتر 💬 واتساب ✈ تليجرام
🍪 إعدادات الخصوصية
سيزو للاستشارات — متوافق مع نظام حماية البيانات الشخصية السعودي (PDPL)
نستخدم ملفات تعريف الارتباط والتقنيات المشابهة لتوفير أفضل تجربة على منصتنا. يمكنك اختيار الأنواع التي تقبلها.
🔒
ملفات ضرورية Always On
مطلوبة لعمل الموقع بشكل صحيح. لا يمكن تعطيلها.
📋 الجلسات، CSRF، المصادقة، تفضيلات اللغة
📊
ملفات التحليلات
تساعدنا في فهم كيفية استخدام الزوار للموقع وتحسين الأداء.
📋 إحصائيات الصفحات، مدة الجلسة، مصدر الزيارة
⚙️
ملفات وظيفية
تتيح ميزات محسنة مثل تخصيص المحتوى والتفضيلات.
📋 السمة المظلمة/الفاتحة، حجم الخط، لوحات التحكم المخصصة
📣
ملفات تسويقية
تُستخدم لتقديم محتوى وإعلانات ذات صلة باهتماماتك.
📋 تتبع الحملات، إعادة الاستهداف، تحليلات وسائل التواصل
سياسة الخصوصية →
مساعد CISO الذكي
اسألني أي شيء · وثائق · دعم
🔐

عرّفنا بنفسك

أدخل بياناتك للوصول إلى المساعد الكامل

معلوماتك آمنة ولن تُشارك
💬
المساعد السيبراني
متصل — يرد في ثوانٍ
5 / 5
🔐 تحقق من هويتك

أدخل بريدك الإلكتروني لإرسال رمز تحقق قبل إرسال طلب الدعم.

Enter للإرسال · / للأوامر 0 / 2000
CISO AI · مدعوم بالذكاء الاصطناعي
✦ استطلاع سريع ساعدنا في تحسين منصة سيزو للاستشارات ملاحظاتك تشكّل مستقبل منصتنا — لا تستغرق سوى دقيقتين.
⚠ يرجى الإجابة على هذا السؤال للمتابعة

كيف تقيّم تجربتك العامة مع منصتنا؟

قيّم من 1 (ضعيف) إلى 5 (ممتاز)

🎉
شكراً جزيلاً!
تم تسجيل إجابتك بنجاح.