📧 info@ciso.sa | 📱 +966550939344 | الرياض، المملكة العربية السعودية
عن المنصة الأسئلة الشائعة اتصل بنا شروط الخدمة سياسة الخصوصية 🌐 English
🔐

مرحباً — سجّل دخولك أو أنشئ حساباً للوصول الكامل.

🔑 دخول ✨ حساب جديد
🌐 EN تسجيل الدخول إنشاء حساب
🔧 صيانة مجدولة — السبت 2:00-4:00 صباحاً. قد تكون بعض الميزات غير متاحة مؤقتاً.    ●   
💎
خطة Pro بخصم 50% احصل على جميع ميزات AI والتقارير غير المحدودة والدعم ذي الأولوية. الترقية الآن
مركز البحث
ESC للإغلاق
تنقل فتح Ctrl+K بحث
CISO Consulting
Global insider التعليم HIGH 46m Global supply_chain تطوير البرمجيات والتكنولوجيا HIGH 5h Global apt الحكومة والبنية التحتية الحرجة CRITICAL 7h Global vulnerability برامج المؤسسات / تحليل البيانات CRITICAL 8h Global vulnerability الذكاء الاصطناعي والتكنولوجيا HIGH 11h Global general قطاع التكنولوجيا والذكاء الاصطناعي MEDIUM 15h Global general قطاع التكنولوجيا والذكاء الاصطناعي HIGH 15h Global vulnerability التعليم العالي CRITICAL 1d Global data_breach القطاع الحكومي HIGH 1d Global supply_chain تطوير البرمجيات والمجتمعات مفتوحة المصدر CRITICAL 1d Global insider التعليم HIGH 46m Global supply_chain تطوير البرمجيات والتكنولوجيا HIGH 5h Global apt الحكومة والبنية التحتية الحرجة CRITICAL 7h Global vulnerability برامج المؤسسات / تحليل البيانات CRITICAL 8h Global vulnerability الذكاء الاصطناعي والتكنولوجيا HIGH 11h Global general قطاع التكنولوجيا والذكاء الاصطناعي MEDIUM 15h Global general قطاع التكنولوجيا والذكاء الاصطناعي HIGH 15h Global vulnerability التعليم العالي CRITICAL 1d Global data_breach القطاع الحكومي HIGH 1d Global supply_chain تطوير البرمجيات والمجتمعات مفتوحة المصدر CRITICAL 1d Global insider التعليم HIGH 46m Global supply_chain تطوير البرمجيات والتكنولوجيا HIGH 5h Global apt الحكومة والبنية التحتية الحرجة CRITICAL 7h Global vulnerability برامج المؤسسات / تحليل البيانات CRITICAL 8h Global vulnerability الذكاء الاصطناعي والتكنولوجيا HIGH 11h Global general قطاع التكنولوجيا والذكاء الاصطناعي MEDIUM 15h Global general قطاع التكنولوجيا والذكاء الاصطناعي HIGH 15h Global vulnerability التعليم العالي CRITICAL 1d Global data_breach القطاع الحكومي HIGH 1d Global supply_chain تطوير البرمجيات والمجتمعات مفتوحة المصدر CRITICAL 1d
الثغرات

CVE-2019-25489

مرتفع
Homey BNB V4 contains a SQL injection vulnerability that allows unauthenticated attackers to manipulate database queries by injecting SQL code through the hosting_id parameter. Attackers can send GET
CWE-89 — نوع الضعف
نُشر: Feb 27, 2026  ·  آخر تحديث: Feb 28, 2026  ·  المصدر: NVD
CVSS v3
8.2
🔗 NVD الرسمي
📄 الوصف (الإنجليزية)

Homey BNB V4 contains a SQL injection vulnerability that allows unauthenticated attackers to manipulate database queries by injecting SQL code through the hosting_id parameter. Attackers can send GET requests to the rooms/ajax_refresh_subtotal endpoint with malicious hosting_id values to extract sensitive database information or cause denial of service.

🤖 ملخص AI

CVE-2019-25489 is a critical SQL injection vulnerability in Homey BNB V4 affecting the rooms/ajax_refresh_subtotal endpoint. Unauthenticated attackers can inject malicious SQL code through the hosting_id parameter to extract sensitive database information or cause denial of service. With a CVSS score of 8.2 and no authentication required, this vulnerability poses significant risk to organizations using this platform.

📄 الوصف (العربية)

🤖 التحليل الذكي آخر تحليل: Apr 25, 2026 08:54
🇸🇦 التأثير على المملكة العربية السعودية
This vulnerability primarily impacts Saudi hospitality and tourism sector organizations using Homey BNB V4 platform. At-risk sectors include: (1) Tourism & Hospitality - hotel chains and property management companies relying on Homey BNB for booking systems; (2) Small-to-Medium Enterprises (SMEs) - property owners and vacation rental operators; (3) Travel & Tourism agencies integrating with Homey BNB. The vulnerability enables unauthorized database access, potential theft of guest personal information (names, contact details, payment information), booking data manipulation, and service disruption affecting customer trust and regulatory compliance with SAMA data protection requirements.
🏢 القطاعات السعودية المتأثرة
Hospitality & Tourism Travel & Booking Services Property Management Small-to-Medium Enterprises (SMEs) E-commerce (vacation rentals)
⚖️ درجة المخاطر السعودية (AI)
8.5
/ 10.0
🔧 Remediation Steps (English)
IMMEDIATE ACTIONS:

1. Identify all systems running Homey BNB V4 and isolate them from public internet access if possible

2. Review access logs for rooms/ajax_refresh_subtotal endpoint for suspicious activity (unusual hosting_id parameters, SQL keywords)

3. Implement Web Application Firewall (WAF) rules to block SQL injection patterns in hosting_id parameter



PATCHING:

4. Apply available patches immediately to all Homey BNB V4 installations

5. Verify patch deployment and test functionality post-update



COMPENSATING CONTROLS (if patch unavailable):

6. Implement input validation: whitelist only numeric values for hosting_id parameter

7. Use parameterized queries/prepared statements in application code

8. Apply principle of least privilege to database user accounts

9. Enable database query logging and monitoring for suspicious patterns



DETECTION:

10. Monitor for HTTP GET requests to /rooms/ajax_refresh_subtotal with SQL keywords (UNION, SELECT, DROP, INSERT, etc.)

11. Alert on unusual database query patterns or failed authentication attempts

12. Implement IDS/IPS signatures for SQL injection attempts
🔧 خطوات المعالجة (العربية)
الإجراءات الفورية:

1. تحديد جميع الأنظمة التي تعمل بـ Homey BNB V4 وعزلها عن الإنترنت العام إن أمكن

2. مراجعة سجلات الوصول لنقطة النهاية rooms/ajax_refresh_subtotal للبحث عن نشاط مريب (معاملات hosting_id غير عادية، كلمات SQL)

3. تطبيق قواعد جدار الحماية لتطبيقات الويب (WAF) لحجب أنماط حقن SQL في معامل hosting_id



تطبيق التصحيحات:

4. تطبيق التصحيحات المتاحة فوراً على جميع تثبيتات Homey BNB V4

5. التحقق من نشر التصحيح واختبار الوظائف بعد التحديث



الضوابط البديلة (إذا لم يكن التصحيح متاحاً):

6. تطبيق التحقق من المدخلات: السماح فقط بالقيم الرقمية لمعامل hosting_id

7. استخدام الاستعلامات المعاملة/البيانات المحضرة في كود التطبيق

8. تطبيق مبدأ أقل امتياز لحسابات مستخدمي قاعدة البيانات

9. تفعيل تسجيل الاستعلامات ومراقبة قاعدة البيانات للأنماط المريبة



الكشف:

10. مراقبة طلبات HTTP GET إلى /rooms/ajax_refresh_subtotal التي تحتوي على كلمات SQL (UNION, SELECT, DROP, INSERT، إلخ)

11. تنبيه عند أنماط استعلامات قاعدة بيانات غير عادية أو محاولات مصادقة فاشلة

12. تطبيق توقيعات IDS/IPS لمحاولات حقن SQL
📋 خريطة الامتثال التنظيمي
🟢 NCA ECC 2024
A.14.2.1 - Secure development policy and procedures A.14.2.5 - Secure development environment A.12.6.1 - Management of technical vulnerabilities A.12.2.1 - Monitoring of system use
🔵 SAMA CSF
ID.RA-1 - Asset management and inventory PR.DS-6 - Integrity checking mechanisms DE.CM-1 - The network is monitored for unauthorized connections RS.MI-2 - Incidents are mitigated
🟡 ISO 27001:2022
A.14.2.1 - Secure development policy A.14.2.5 - Secure development environment A.12.6.1 - Management of technical vulnerabilities A.13.1.3 - Segregation of networks
🟣 PCI DSS v4.0.1
6.5.1 - Injection flaws prevention 6.2 - Security patches and updates 11.2 - Vulnerability scanning
📊 CVSS Score
8.2
/ 10.0 — مرتفع
📊 CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:L/A:N
Attack VectorN — None / Network
Attack ComplexityL — Low / Local
Privileges RequiredN — None / Network
User InteractionN — None / Network
ScopeU — Unchanged
ConfidentialityH — High
IntegrityL — Low / Local
AvailabilityN — None / Network
📋 حقائق سريعة
الخطورة مرتفع
CVSS Score8.2
CWECWE-89
EPSS0.06%
اختراق متاح لا
تصحيح متاح ✓ نعم
تاريخ النشر 2026-02-27
المصدر nvd
المشاهدات 9
🇸🇦 درجة المخاطر السعودية
8.5
/ 10.0 — مخاطر السعودية
أولوية: CRITICAL
🏷️ الوسوم
CWE-89
⚡ إجراءات
🔗 NVD Official Page ⚡ Exploit-DB Search 🐙 GitHub PoC Search 🎯 MITRE ATT&CK 📊 CVE Details
مشاركة ثغرة
LinkedIn X / Twitter WhatsApp Telegram

💬 التعليقات

0
جارٍ التحميل
📣 وجدت هذا مفيداً؟
شاركه مع شبكة الأمن السيبراني الخاصة بك
in لينكدإن 𝕏 تويتر 💬 واتساب ✈ تليجرام
🍪 إعدادات الخصوصية
سيزو للاستشارات — متوافق مع نظام حماية البيانات الشخصية السعودي (PDPL)
نستخدم ملفات تعريف الارتباط والتقنيات المشابهة لتوفير أفضل تجربة على منصتنا. يمكنك اختيار الأنواع التي تقبلها.
🔒
ملفات ضرورية Always On
مطلوبة لعمل الموقع بشكل صحيح. لا يمكن تعطيلها.
📋 الجلسات، CSRF، المصادقة، تفضيلات اللغة
📊
ملفات التحليلات
تساعدنا في فهم كيفية استخدام الزوار للموقع وتحسين الأداء.
📋 إحصائيات الصفحات، مدة الجلسة، مصدر الزيارة
⚙️
ملفات وظيفية
تتيح ميزات محسنة مثل تخصيص المحتوى والتفضيلات.
📋 السمة المظلمة/الفاتحة، حجم الخط، لوحات التحكم المخصصة
📣
ملفات تسويقية
تُستخدم لتقديم محتوى وإعلانات ذات صلة باهتماماتك.
📋 تتبع الحملات، إعادة الاستهداف، تحليلات وسائل التواصل
سياسة الخصوصية →
مساعد CISO الذكي
اسألني أي شيء · وثائق · دعم
🔐

عرّفنا بنفسك

أدخل بياناتك للوصول إلى المساعد الكامل

معلوماتك آمنة ولن تُشارك
💬
المساعد السيبراني
متصل — يرد في ثوانٍ
5 / 5
🔐 تحقق من هويتك

أدخل بريدك الإلكتروني لإرسال رمز تحقق قبل إرسال طلب الدعم.

Enter للإرسال · / للأوامر 0 / 2000
CISO AI · مدعوم بالذكاء الاصطناعي
✦ استطلاع سريع ساعدنا في تحسين منصة سيزو للاستشارات ملاحظاتك تشكّل مستقبل منصتنا — لا تستغرق سوى دقيقتين.
⚠ يرجى الإجابة على هذا السؤال للمتابعة

كيف تقيّم تجربتك العامة مع منصتنا؟

قيّم من 1 (ضعيف) إلى 5 (ممتاز)

🎉
شكراً جزيلاً!
تم تسجيل إجابتك بنجاح.