📧 info@ciso.sa | 📱 +966550939344 | الرياض، المملكة العربية السعودية
عن المنصة الأسئلة الشائعة اتصل بنا شروط الخدمة سياسة الخصوصية 🌐 English
🔐

مرحباً — سجّل دخولك أو أنشئ حساباً للوصول الكامل.

🔑 دخول ✨ حساب جديد
🌐 EN تسجيل الدخول إنشاء حساب
🔧 صيانة مجدولة — السبت 2:00-4:00 صباحاً. قد تكون بعض الميزات غير متاحة مؤقتاً.    ●   
💎
خطة Pro بخصم 50% احصل على جميع ميزات AI والتقارير غير المحدودة والدعم ذي الأولوية. الترقية الآن
مركز البحث
ESC للإغلاق
تنقل فتح Ctrl+K بحث
CISO Consulting
Global insider التعليم HIGH 3h Global supply_chain تطوير البرمجيات والتكنولوجيا HIGH 8h Global apt الحكومة والبنية التحتية الحرجة CRITICAL 10h Global vulnerability برامج المؤسسات / تحليل البيانات CRITICAL 11h Global vulnerability الذكاء الاصطناعي والتكنولوجيا HIGH 14h Global general قطاع التكنولوجيا والذكاء الاصطناعي MEDIUM 18h Global general قطاع التكنولوجيا والذكاء الاصطناعي HIGH 19h Global vulnerability التعليم العالي CRITICAL 1d Global data_breach القطاع الحكومي HIGH 1d Global supply_chain تطوير البرمجيات والمجتمعات مفتوحة المصدر CRITICAL 1d Global insider التعليم HIGH 3h Global supply_chain تطوير البرمجيات والتكنولوجيا HIGH 8h Global apt الحكومة والبنية التحتية الحرجة CRITICAL 10h Global vulnerability برامج المؤسسات / تحليل البيانات CRITICAL 11h Global vulnerability الذكاء الاصطناعي والتكنولوجيا HIGH 14h Global general قطاع التكنولوجيا والذكاء الاصطناعي MEDIUM 18h Global general قطاع التكنولوجيا والذكاء الاصطناعي HIGH 19h Global vulnerability التعليم العالي CRITICAL 1d Global data_breach القطاع الحكومي HIGH 1d Global supply_chain تطوير البرمجيات والمجتمعات مفتوحة المصدر CRITICAL 1d Global insider التعليم HIGH 3h Global supply_chain تطوير البرمجيات والتكنولوجيا HIGH 8h Global apt الحكومة والبنية التحتية الحرجة CRITICAL 10h Global vulnerability برامج المؤسسات / تحليل البيانات CRITICAL 11h Global vulnerability الذكاء الاصطناعي والتكنولوجيا HIGH 14h Global general قطاع التكنولوجيا والذكاء الاصطناعي MEDIUM 18h Global general قطاع التكنولوجيا والذكاء الاصطناعي HIGH 19h Global vulnerability التعليم العالي CRITICAL 1d Global data_breach القطاع الحكومي HIGH 1d Global supply_chain تطوير البرمجيات والمجتمعات مفتوحة المصدر CRITICAL 1d
الثغرات

CVE-2019-25455

مرتفع ⚡ اختراق متاح
Web Ofisi E-Ticaret v3 contains an SQL injection vulnerability that allows unauthenticated attackers to manipulate database queries by injecting SQL code through the 'a' parameter. Attackers can send
CWE-89 — نوع الضعف
نُشر: Feb 22, 2026  ·  آخر تحديث: Feb 28, 2026  ·  المصدر: NVD
CVSS v3
8.2
🔗 NVD الرسمي
📄 الوصف (الإنجليزية)

Web Ofisi E-Ticaret v3 contains an SQL injection vulnerability that allows unauthenticated attackers to manipulate database queries by injecting SQL code through the 'a' parameter. Attackers can send GET requests to with malicious 'a' parameter values to extract sensitive database information.

🤖 ملخص AI

Web Ofisi E-Ticaret v3.0.0 contains a critical unauthenticated SQL injection vulnerability in the 'a' parameter that allows attackers to extract sensitive database information through GET requests. With a CVSS score of 8.2 and publicly available exploits, this vulnerability poses an immediate threat to Saudi e-commerce organizations. Patching is urgently required as the vulnerability requires no authentication and can lead to complete database compromise.

📄 الوصف (العربية)

🤖 التحليل الذكي آخر تحليل: Apr 25, 2026 06:38
🇸🇦 التأثير على المملكة العربية السعودية
This vulnerability directly impacts Saudi e-commerce sector organizations using Web Ofisi E-Ticaret v3.0.0, including online retailers, marketplace platforms, and SMEs conducting digital commerce. High-risk sectors include: (1) E-commerce platforms and online retailers - potential exposure of customer PII, payment card data, and transaction records; (2) Banking and financial services - if integrated with payment gateways or financial transaction systems; (3) Government e-services - if any government procurement or citizen-facing e-commerce portals use this platform; (4) Telecommunications sector - if used for online billing or customer management systems. The unauthenticated nature of the attack makes it particularly dangerous as it can be exploited without valid credentials, potentially affecting thousands of customer records across multiple organizations.
🏢 القطاعات السعودية المتأثرة
E-commerce and Retail Banking and Financial Services Government and Public Sector Telecommunications Healthcare (if using for patient billing) Hospitality and Tourism Small and Medium Enterprises (SMEs)
⚖️ درجة المخاطر السعودية (AI)
8.7
/ 10.0
🔧 Remediation Steps (English)
IMMEDIATE ACTIONS:

1. Identify all systems running Web Ofisi E-Ticaret v3.0.0 across your organization and document their locations and data sensitivity levels

2. Implement network-level access controls to restrict external access to affected systems

3. Enable detailed logging and monitoring of all database queries and access attempts

4. Review recent access logs for indicators of exploitation (SQL keywords in 'a' parameter: UNION, SELECT, DROP, INSERT, etc.)



PATCHING GUIDANCE:

1. Upgrade immediately to Web Ofisi E-Ticaret version 3.0.1 or later

2. Test patches in a non-production environment first

3. Schedule patching during maintenance windows with minimal business impact

4. Verify patch application by confirming version number and testing the 'a' parameter for SQL injection



COMPENSATING CONTROLS (if patching delayed):

1. Implement Web Application Firewall (WAF) rules to block SQL injection patterns in the 'a' parameter

2. Apply input validation and sanitization at the application level

3. Use parameterized queries/prepared statements for all database interactions

4. Restrict database user permissions to least privilege principle

5. Implement database activity monitoring (DAM) solutions



DETECTION RULES:

1. Monitor for GET requests containing SQL keywords in 'a' parameter: UNION, SELECT, DROP, INSERT, UPDATE, DELETE, EXEC, SCRIPT

2. Alert on multiple failed database queries from single source IP

3. Monitor for unusual database connection patterns or data exfiltration attempts

4. Log and alert on any changes to database schema or user privileges

5. Implement IDS/IPS signatures for Web Ofisi E-Ticaret SQL injection patterns
🔧 خطوات المعالجة (العربية)
الإجراءات الفورية:

1. تحديد جميع الأنظمة التي تعمل بـ Web Ofisi E-Ticaret الإصدار 3.0.0 في المنظمة وتوثيق مواقعها ومستويات حساسية البيانات

2. تطبيق ضوابط الوصول على مستوى الشبكة لتقييد الوصول الخارجي للأنظمة المتأثرة

3. تفعيل التسجيل والمراقبة التفصيلية لجميع استعلامات قاعدة البيانات ومحاولات الوصول

4. مراجعة سجلات الوصول الأخيرة للبحث عن مؤشرات الاستغلال (كلمات SQL في معامل 'a': UNION, SELECT, DROP, INSERT، إلخ)



إرشادات التصحيح:

1. الترقية الفورية إلى Web Ofisi E-Ticaret الإصدار 3.0.1 أو أحدث

2. اختبار التصحيحات في بيئة غير الإنتاج أولاً

3. جدولة التصحيح خلال نوافذ الصيانة بأقل تأثير على العمل

4. التحقق من تطبيق التصحيح بتأكيد رقم الإصدار واختبار معامل 'a' لثغرات حقن SQL



الضوابط البديلة (إذا تأخر التصحيح):

1. تطبيق قواعد جدار حماية تطبيقات الويب (WAF) لحجب أنماط حقن SQL في معامل 'a'

2. تطبيق التحقق من صحة المدخلات والتطهير على مستوى التطبيق

3. استخدام الاستعلامات المعاملة/البيانات المحضرة لجميع تفاعلات قاعدة البيانات

4. تقييد أذونات مستخدم قاعدة البيانات وفقاً لمبدأ أقل امتياز

5. تطبيق حلول مراقبة نشاط قاعدة البيانات (DAM)



قواعد الكشف:

1. مراقبة طلبات GET التي تحتوي على كلمات SQL في معامل 'a': UNION, SELECT, DROP, INSERT, UPDATE, DELETE, EXEC, SCRIPT

2. التنبيه على استعلامات قاعدة البيانات الفاشلة المتعددة من عنوان IP واحد

3. مراقبة أنماط اتصال قاعدة البيانات غير العادية أو محاولات تسرب البيانات

4. تسجيل والتنبيه على أي تغييرات في مخطط قاعدة البيانات أو امتيازات المستخدم

5. تطبيق توقيعات IDS/IPS لأنماط حقن SQL في Web Ofisi E-Ticaret
📋 خريطة الامتثال التنظيمي
🟢 NCA ECC 2024
ECC 2024 A.14.2.1 - Secure development policy and procedures ECC 2024 A.14.2.5 - Secure development environment ECC 2024 A.12.6.1 - Management of technical vulnerabilities ECC 2024 A.12.2.1 - Monitoring and logging of access to information
🔵 SAMA CSF
SAMA CSF ID.GV-1 - Organizational governance and risk management SAMA CSF PR.DS-6 - Data is protected from unauthorized access SAMA CSF DE.CM-1 - The network is monitored for unauthorized connections SAMA CSF RS.MI-2 - Incidents are mitigated
🟡 ISO 27001:2022
ISO 27001:2022 A.5.23 - Information security for supplier relationships ISO 27001:2022 A.8.1 - User endpoint devices ISO 27001:2022 A.8.22 - Monitoring activities ISO 27001:2022 A.14.2.1 - Secure development policy
🟣 PCI DSS v4.0.1
PCI DSS 6.2 - Ensure all system components and software are protected from known vulnerabilities PCI DSS 6.5.1 - Injection flaws prevention PCI DSS 10.2 - Implement automated audit trails for all access to cardholder data
📦 المنتجات المتأثرة 1 منتج
web-ofisi:e-ticaret:3.0.0
📊 CVSS Score
8.2
/ 10.0 — مرتفع
📊 CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:L/A:N
Attack VectorN — None / Network
Attack ComplexityL — Low / Local
Privileges RequiredN — None / Network
User InteractionN — None / Network
ScopeU — Unchanged
ConfidentialityH — High
IntegrityL — Low / Local
AvailabilityN — None / Network
📋 حقائق سريعة
الخطورة مرتفع
CVSS Score8.2
CWECWE-89
EPSS0.09%
اختراق متاح ✓ نعم
تصحيح متاح ✓ نعم
تاريخ النشر 2026-02-22
المصدر nvd
المشاهدات 6
🇸🇦 درجة المخاطر السعودية
8.7
/ 10.0 — مخاطر السعودية
أولوية: CRITICAL
🏷️ الوسوم
exploit-available CWE-89
⚡ إجراءات
🔗 NVD Official Page ⚡ Exploit-DB Search 🐙 GitHub PoC Search 🎯 MITRE ATT&CK 📊 CVE Details
مشاركة ثغرة
LinkedIn X / Twitter WhatsApp Telegram

💬 التعليقات

0
جارٍ التحميل
📣 وجدت هذا مفيداً؟
شاركه مع شبكة الأمن السيبراني الخاصة بك
in لينكدإن 𝕏 تويتر 💬 واتساب ✈ تليجرام
🍪 إعدادات الخصوصية
سيزو للاستشارات — متوافق مع نظام حماية البيانات الشخصية السعودي (PDPL)
نستخدم ملفات تعريف الارتباط والتقنيات المشابهة لتوفير أفضل تجربة على منصتنا. يمكنك اختيار الأنواع التي تقبلها.
🔒
ملفات ضرورية Always On
مطلوبة لعمل الموقع بشكل صحيح. لا يمكن تعطيلها.
📋 الجلسات، CSRF، المصادقة، تفضيلات اللغة
📊
ملفات التحليلات
تساعدنا في فهم كيفية استخدام الزوار للموقع وتحسين الأداء.
📋 إحصائيات الصفحات، مدة الجلسة، مصدر الزيارة
⚙️
ملفات وظيفية
تتيح ميزات محسنة مثل تخصيص المحتوى والتفضيلات.
📋 السمة المظلمة/الفاتحة، حجم الخط، لوحات التحكم المخصصة
📣
ملفات تسويقية
تُستخدم لتقديم محتوى وإعلانات ذات صلة باهتماماتك.
📋 تتبع الحملات، إعادة الاستهداف، تحليلات وسائل التواصل
سياسة الخصوصية →
مساعد CISO الذكي
اسألني أي شيء · وثائق · دعم
🔐

عرّفنا بنفسك

أدخل بياناتك للوصول إلى المساعد الكامل

معلوماتك آمنة ولن تُشارك
💬
المساعد السيبراني
متصل — يرد في ثوانٍ
5 / 5
🔐 تحقق من هويتك

أدخل بريدك الإلكتروني لإرسال رمز تحقق قبل إرسال طلب الدعم.

Enter للإرسال · / للأوامر 0 / 2000
CISO AI · مدعوم بالذكاء الاصطناعي
✦ استطلاع سريع ساعدنا في تحسين منصة سيزو للاستشارات ملاحظاتك تشكّل مستقبل منصتنا — لا تستغرق سوى دقيقتين.
⚠ يرجى الإجابة على هذا السؤال للمتابعة

كيف تقيّم تجربتك العامة مع منصتنا؟

قيّم من 1 (ضعيف) إلى 5 (ممتاز)

🎉
شكراً جزيلاً!
تم تسجيل إجابتك بنجاح.