📧 info@ciso.sa | 📱 +966550939344 | الرياض، المملكة العربية السعودية
عن المنصة الأسئلة الشائعة اتصل بنا شروط الخدمة سياسة الخصوصية 🌐 English
🔐

مرحباً — سجّل دخولك أو أنشئ حساباً للوصول الكامل.

🔑 دخول ✨ حساب جديد
🌐 EN تسجيل الدخول إنشاء حساب
🔧 صيانة مجدولة — السبت 2:00-4:00 صباحاً. قد تكون بعض الميزات غير متاحة مؤقتاً.    ●   
💎
خطة Pro بخصم 50% احصل على جميع ميزات AI والتقارير غير المحدودة والدعم ذي الأولوية. الترقية الآن
مركز البحث
ESC للإغلاق
تنقل فتح Ctrl+K بحث
CISO Consulting
Global insider التعليم HIGH 3h Global supply_chain تطوير البرمجيات والتكنولوجيا HIGH 8h Global apt الحكومة والبنية التحتية الحرجة CRITICAL 10h Global vulnerability برامج المؤسسات / تحليل البيانات CRITICAL 11h Global vulnerability الذكاء الاصطناعي والتكنولوجيا HIGH 14h Global general قطاع التكنولوجيا والذكاء الاصطناعي MEDIUM 18h Global general قطاع التكنولوجيا والذكاء الاصطناعي HIGH 19h Global vulnerability التعليم العالي CRITICAL 1d Global data_breach القطاع الحكومي HIGH 1d Global supply_chain تطوير البرمجيات والمجتمعات مفتوحة المصدر CRITICAL 1d Global insider التعليم HIGH 3h Global supply_chain تطوير البرمجيات والتكنولوجيا HIGH 8h Global apt الحكومة والبنية التحتية الحرجة CRITICAL 10h Global vulnerability برامج المؤسسات / تحليل البيانات CRITICAL 11h Global vulnerability الذكاء الاصطناعي والتكنولوجيا HIGH 14h Global general قطاع التكنولوجيا والذكاء الاصطناعي MEDIUM 18h Global general قطاع التكنولوجيا والذكاء الاصطناعي HIGH 19h Global vulnerability التعليم العالي CRITICAL 1d Global data_breach القطاع الحكومي HIGH 1d Global supply_chain تطوير البرمجيات والمجتمعات مفتوحة المصدر CRITICAL 1d Global insider التعليم HIGH 3h Global supply_chain تطوير البرمجيات والتكنولوجيا HIGH 8h Global apt الحكومة والبنية التحتية الحرجة CRITICAL 10h Global vulnerability برامج المؤسسات / تحليل البيانات CRITICAL 11h Global vulnerability الذكاء الاصطناعي والتكنولوجيا HIGH 14h Global general قطاع التكنولوجيا والذكاء الاصطناعي MEDIUM 18h Global general قطاع التكنولوجيا والذكاء الاصطناعي HIGH 19h Global vulnerability التعليم العالي CRITICAL 1d Global data_breach القطاع الحكومي HIGH 1d Global supply_chain تطوير البرمجيات والمجتمعات مفتوحة المصدر CRITICAL 1d
الثغرات

CVE-2019-25668

مرتفع
CWE-89 — نوع الضعف
نُشر: Apr 5, 2026  ·  آخر تحديث: Apr 12, 2026  ·  المصدر: NVD
CVSS v3
8.2
🔗 NVD الرسمي
📄 الوصف (الإنجليزية)

News Website Script 2.0.5 contains an SQL injection vulnerability that allows unauthenticated attackers to manipulate database queries by injecting SQL code through the news ID parameter. Attackers can send GET requests to index.php/show/news/ with malicious SQL statements to extract sensitive database information.

🤖 ملخص AI

CVE-2019-25668 is a critical SQL injection vulnerability in News Website Script 2.0.5 that allows unauthenticated attackers to manipulate database queries through the news ID parameter. Attackers can extract sensitive information including user credentials, personal data, and business intelligence without authentication. With a CVSS score of 8.2 and no available patch, this vulnerability poses significant risk to organizations using this outdated software.

📄 الوصف (العربية)

🤖 التحليل الذكي آخر تحليل: Apr 25, 2026 13:43
🇸🇦 التأثير على المملكة العربية السعودية
This vulnerability primarily affects Saudi media organizations, news agencies, and government information portals using News Website Script 2.0.5. High-risk sectors include: (1) Government communications and media entities under GCAM oversight, (2) Private media companies and news websites, (3) Educational institutions with news portals, (4) Corporate communications departments. The vulnerability enables complete database compromise, potentially exposing citizen data, government communications, and business information. Organizations in the Kingdom using this legacy software face regulatory scrutiny from NCA and SAMA if customer/financial data is compromised.
🏢 القطاعات السعودية المتأثرة
Media and News Organizations Government Communications Educational Institutions Corporate Communications Public Information Portals
⚖️ درجة المخاطر السعودية (AI)
8.5
/ 10.0
🔧 Remediation Steps (English)
IMMEDIATE ACTIONS:

1. Identify all instances of News Website Script 2.0.5 in your environment using network scanning and asset inventory tools

2. Isolate affected systems from public internet access immediately or implement Web Application Firewall (WAF) rules

3. Review database access logs for suspicious SQL patterns and potential data exfiltration



PATCHING GUIDANCE:

1. Upgrade to a patched version of the news script or migrate to a maintained alternative (e.g., WordPress with security plugins, Joomla, Drupal)

2. If upgrade is not immediately possible, apply input validation and parameterized queries at the application level



COMPENSATING CONTROLS:

1. Implement WAF rules to block SQL injection patterns in the news ID parameter (block requests containing: UNION, SELECT, INSERT, DELETE, DROP, OR, AND, --, ;, /*)

2. Apply strict input validation: whitelist only numeric characters for news ID parameter

3. Implement database user privilege separation - use read-only database accounts for web application

4. Enable database query logging and set up alerts for suspicious SQL patterns

5. Implement rate limiting on index.php/show/news/ endpoint

6. Deploy intrusion detection signatures for SQL injection attempts



DETECTION RULES:

1. Monitor HTTP GET requests to index.php/show/news/ containing SQL keywords

2. Alert on database error messages exposed in HTTP responses

3. Track unusual database query patterns and data volume extraction

4. Monitor for multiple failed SQL syntax attempts from same source IP
🔧 خطوات المعالجة (العربية)
الإجراءات الفورية:

1. تحديد جميع نسخ News Website Script 2.0.5 في بيئتك باستخدام أدوات المسح والجرد

2. عزل الأنظمة المتأثرة عن الإنترنت العام فوراً أو تطبيق قواعد جدار حماية تطبيقات الويب

3. مراجعة سجلات الوصول إلى قاعدة البيانات للبحث عن أنماط SQL المريبة



إرشادات التصحيح:

1. الترقية إلى نسخة مصححة أو الهجرة إلى بديل مدعوم (WordPress، Joomla، Drupal)

2. إذا لم تكن الترقية ممكنة فوراً، طبق التحقق من صحة المدخلات والاستعلامات المعاملة



الضوابط البديلة:

1. تطبيق قواعد WAF لحجب أنماط حقن SQL في معامل معرّف الأخبار

2. تطبيق التحقق الصارم من المدخلات: السماح فقط بالأرقام

3. تطبيق فصل امتيازات مستخدم قاعدة البيانات

4. تفعيل تسجيل استعلامات قاعدة البيانات والتنبيهات

5. تطبيق تحديد معدل الطلبات على نقطة النهاية

6. نشر توقيعات كشف الاختراق لمحاولات حقن SQL
📋 خريطة الامتثال التنظيمي
🟢 NCA ECC 2024
ECC 2024 A.14.2.1 - Information security requirements for system development and maintenance ECC 2024 A.14.2.5 - Secure development policy ECC 2024 A.13.1.3 - Segregation of networks ECC 2024 A.12.6.1 - Management of technical vulnerabilities
🔵 SAMA CSF
SAMA CSF ID.BE-1 - Asset management and inventory SAMA CSF PR.AC-1 - Access control and authentication SAMA CSF PR.DS-2 - Data security and protection SAMA CSF DE.CM-1 - Detection and monitoring
🟡 ISO 27001:2022
ISO 27001:2022 A.8.1 - User endpoint devices ISO 27001:2022 A.8.2 - Privileged access rights ISO 27001:2022 A.14.2 - Development security ISO 27001:2022 A.12.6 - Management of technical vulnerabilities
🟣 PCI DSS v4.0.1
PCI DSS 6.5.1 - Injection flaws prevention PCI DSS 6.2 - Security patches and updates PCI DSS 11.2 - Vulnerability scanning
📊 CVSS Score
8.2
/ 10.0 — مرتفع
📊 CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:L/A:N
Attack VectorN — None / Network
Attack ComplexityL — Low / Local
Privileges RequiredN — None / Network
User InteractionN — None / Network
ScopeU — Unchanged
ConfidentialityH — High
IntegrityL — Low / Local
AvailabilityN — None / Network
📋 حقائق سريعة
الخطورة مرتفع
CVSS Score8.2
CWECWE-89
EPSS0.07%
اختراق متاح لا
تصحيح متاح ✗ لا
تاريخ النشر 2026-04-05
المصدر nvd
المشاهدات 5
🇸🇦 درجة المخاطر السعودية
8.5
/ 10.0 — مخاطر السعودية
أولوية: CRITICAL
🏷️ الوسوم
CWE-89
⚡ إجراءات
🔗 NVD Official Page ⚡ Exploit-DB Search 🐙 GitHub PoC Search 🎯 MITRE ATT&CK 📊 CVE Details
مشاركة ثغرة
LinkedIn X / Twitter WhatsApp Telegram

💬 التعليقات

0
جارٍ التحميل
📣 وجدت هذا مفيداً؟
شاركه مع شبكة الأمن السيبراني الخاصة بك
in لينكدإن 𝕏 تويتر 💬 واتساب ✈ تليجرام
🍪 إعدادات الخصوصية
سيزو للاستشارات — متوافق مع نظام حماية البيانات الشخصية السعودي (PDPL)
نستخدم ملفات تعريف الارتباط والتقنيات المشابهة لتوفير أفضل تجربة على منصتنا. يمكنك اختيار الأنواع التي تقبلها.
🔒
ملفات ضرورية Always On
مطلوبة لعمل الموقع بشكل صحيح. لا يمكن تعطيلها.
📋 الجلسات، CSRF، المصادقة، تفضيلات اللغة
📊
ملفات التحليلات
تساعدنا في فهم كيفية استخدام الزوار للموقع وتحسين الأداء.
📋 إحصائيات الصفحات، مدة الجلسة، مصدر الزيارة
⚙️
ملفات وظيفية
تتيح ميزات محسنة مثل تخصيص المحتوى والتفضيلات.
📋 السمة المظلمة/الفاتحة، حجم الخط، لوحات التحكم المخصصة
📣
ملفات تسويقية
تُستخدم لتقديم محتوى وإعلانات ذات صلة باهتماماتك.
📋 تتبع الحملات، إعادة الاستهداف، تحليلات وسائل التواصل
سياسة الخصوصية →
مساعد CISO الذكي
اسألني أي شيء · وثائق · دعم
🔐

عرّفنا بنفسك

أدخل بياناتك للوصول إلى المساعد الكامل

معلوماتك آمنة ولن تُشارك
💬
المساعد السيبراني
متصل — يرد في ثوانٍ
5 / 5
🔐 تحقق من هويتك

أدخل بريدك الإلكتروني لإرسال رمز تحقق قبل إرسال طلب الدعم.

Enter للإرسال · / للأوامر 0 / 2000
CISO AI · مدعوم بالذكاء الاصطناعي
✦ استطلاع سريع ساعدنا في تحسين منصة سيزو للاستشارات ملاحظاتك تشكّل مستقبل منصتنا — لا تستغرق سوى دقيقتين.
⚠ يرجى الإجابة على هذا السؤال للمتابعة

كيف تقيّم تجربتك العامة مع منصتنا؟

قيّم من 1 (ضعيف) إلى 5 (ممتاز)

🎉
شكراً جزيلاً!
تم تسجيل إجابتك بنجاح.