📧 info@ciso.sa | 📱 +966550939344 | الرياض، المملكة العربية السعودية
عن المنصة الأسئلة الشائعة اتصل بنا شروط الخدمة سياسة الخصوصية 🌐 English
🔐

مرحباً — سجّل دخولك أو أنشئ حساباً للوصول الكامل.

🔑 دخول ✨ حساب جديد
🌐 EN تسجيل الدخول إنشاء حساب
🔧 صيانة مجدولة — السبت 2:00-4:00 صباحاً. قد تكون بعض الميزات غير متاحة مؤقتاً.    ●   
💎
خطة Pro بخصم 50% احصل على جميع ميزات AI والتقارير غير المحدودة والدعم ذي الأولوية. الترقية الآن
مركز البحث
ESC للإغلاق
تنقل فتح Ctrl+K بحث
CISO Consulting
Global insider التعليم HIGH 3h Global supply_chain تطوير البرمجيات والتكنولوجيا HIGH 8h Global apt الحكومة والبنية التحتية الحرجة CRITICAL 10h Global vulnerability برامج المؤسسات / تحليل البيانات CRITICAL 11h Global vulnerability الذكاء الاصطناعي والتكنولوجيا HIGH 14h Global general قطاع التكنولوجيا والذكاء الاصطناعي MEDIUM 18h Global general قطاع التكنولوجيا والذكاء الاصطناعي HIGH 19h Global vulnerability التعليم العالي CRITICAL 1d Global data_breach القطاع الحكومي HIGH 1d Global supply_chain تطوير البرمجيات والمجتمعات مفتوحة المصدر CRITICAL 1d Global insider التعليم HIGH 3h Global supply_chain تطوير البرمجيات والتكنولوجيا HIGH 8h Global apt الحكومة والبنية التحتية الحرجة CRITICAL 10h Global vulnerability برامج المؤسسات / تحليل البيانات CRITICAL 11h Global vulnerability الذكاء الاصطناعي والتكنولوجيا HIGH 14h Global general قطاع التكنولوجيا والذكاء الاصطناعي MEDIUM 18h Global general قطاع التكنولوجيا والذكاء الاصطناعي HIGH 19h Global vulnerability التعليم العالي CRITICAL 1d Global data_breach القطاع الحكومي HIGH 1d Global supply_chain تطوير البرمجيات والمجتمعات مفتوحة المصدر CRITICAL 1d Global insider التعليم HIGH 3h Global supply_chain تطوير البرمجيات والتكنولوجيا HIGH 8h Global apt الحكومة والبنية التحتية الحرجة CRITICAL 10h Global vulnerability برامج المؤسسات / تحليل البيانات CRITICAL 11h Global vulnerability الذكاء الاصطناعي والتكنولوجيا HIGH 14h Global general قطاع التكنولوجيا والذكاء الاصطناعي MEDIUM 18h Global general قطاع التكنولوجيا والذكاء الاصطناعي HIGH 19h Global vulnerability التعليم العالي CRITICAL 1d Global data_breach القطاع الحكومي HIGH 1d Global supply_chain تطوير البرمجيات والمجتمعات مفتوحة المصدر CRITICAL 1d
الثغرات

CVE-2019-25675

مرتفع
CWE-89 — نوع الضعف
نُشر: Apr 5, 2026  ·  آخر تحديث: Apr 12, 2026  ·  المصدر: NVD
CVSS v3
8.2
🔗 NVD الرسمي
📄 الوصف (الإنجليزية)

eDirectory contains multiple SQL injection vulnerabilities that allow unauthenticated attackers to bypass administrator authentication and disclose sensitive files by injecting SQL code into parameters. Attackers can exploit the key parameter in the login endpoint with union-based SQL injection to authenticate as administrator, then leverage authenticated file disclosure vulnerabilities in language_file.php to read arbitrary PHP files from the server.

🤖 ملخص AI

CVE-2019-25675 is a critical SQL injection vulnerability in eDirectory that allows unauthenticated attackers to bypass administrator authentication and disclose sensitive files. The vulnerability exists in the login endpoint's key parameter, enabling attackers to authenticate as administrators without credentials and subsequently read arbitrary PHP files. With a CVSS score of 8.2 and no available patch, this poses an immediate threat to organizations using affected eDirectory versions.

📄 الوصف (العربية)

🤖 التحليل الذكي آخر تحليل: Apr 25, 2026 13:42
🇸🇦 التأثير على المملكة العربية السعودية
This vulnerability poses severe risk to Saudi government agencies, financial institutions, and large enterprises that may use eDirectory for directory services and authentication. Banking sector organizations (SAMA-regulated) face critical risk of unauthorized administrative access and data breach. Government entities under NCA oversight could experience compromise of sensitive citizen data and administrative systems. Healthcare organizations using eDirectory for patient record management face HIPAA-equivalent compliance violations. Telecommunications providers (STC, Mobily) managing customer authentication systems are at high risk. The vulnerability enables complete authentication bypass, making it particularly dangerous for organizations managing critical infrastructure or sensitive financial data.
🏢 القطاعات السعودية المتأثرة
Banking and Financial Services Government and Public Administration Healthcare Energy and Utilities Telecommunications Large Enterprises Education
⚖️ درجة المخاطر السعودية (AI)
8.8
/ 10.0
🔧 Remediation Steps (English)
IMMEDIATE ACTIONS:

1. Identify all eDirectory installations in your environment and document versions

2. Implement network-level access controls to restrict access to eDirectory login endpoints

3. Enable comprehensive logging and monitoring of all authentication attempts

4. Isolate affected eDirectory systems from production networks if possible



DETECTION:

1. Monitor for SQL injection patterns in login requests: look for SQL keywords (UNION, SELECT, OR, --) in the 'key' parameter

2. Alert on multiple failed authentication attempts followed by successful admin logins

3. Monitor for unusual file access patterns in language_file.php requests

4. Log all requests containing special characters (%27, %22, %2D%2D) in authentication parameters



COMPENSATING CONTROLS:

1. Implement Web Application Firewall (WAF) rules to block SQL injection patterns in login parameters

2. Deploy input validation at network perimeter to reject requests with SQL keywords

3. Implement rate limiting on login endpoints to prevent brute force exploitation

4. Enable multi-factor authentication (MFA) for all administrative accounts

5. Restrict file system permissions on PHP files to read-only for web server process

6. Consider upgrading to alternative directory services (Active Directory, OpenLDAP) if available



PATCHING:

1. Contact eDirectory vendor immediately for security updates

2. If no patch available, plan migration to patched version or alternative solution

3. Implement temporary access controls while awaiting patches
🔧 خطوات المعالجة (العربية)
الإجراءات الفورية:

1. تحديد جميع تثبيتات eDirectory في بيئتك وتوثيق الإصدارات

2. تطبيق عناصر تحكم الوصول على مستوى الشبكة لتقييد الوصول إلى نقاط نهاية تسجيل الدخول

3. تفعيل السجلات الشاملة ومراقبة جميع محاولات المصادقة

4. عزل أنظمة eDirectory المتأثرة عن شبكات الإنتاج إن أمكن



الكشف:

1. مراقبة أنماط حقن SQL في طلبات تسجيل الدخول: ابحث عن كلمات SQL (UNION, SELECT, OR, --) في معامل 'key'

2. تنبيهات على محاولات مصادقة فاشلة متعددة تتبعها عمليات تسجيل دخول إدارية ناجحة

3. مراقبة أنماط الوصول غير العادية في طلبات language_file.php

4. تسجيل جميع الطلبات التي تحتوي على أحرف خاصة في معاملات المصادقة



عناصر التحكم البديلة:

1. تطبيق قواعد جدار حماية تطبيقات الويب (WAF) لحظر أنماط حقن SQL

2. نشر التحقق من الإدخال على محيط الشبكة لرفض الطلبات التي تحتوي على كلمات SQL

3. تطبيق تحديد معدل على نقاط نهاية تسجيل الدخول

4. تفعيل المصادقة متعددة العوامل (MFA) لجميع الحسابات الإدارية

5. تقييد أذونات نظام الملفات على ملفات PHP

6. النظر في الترقية إلى خدمات دليل بديلة إذا كانت متاحة
📋 خريطة الامتثال التنظيمي
🟢 NCA ECC 2024
A.5.1.1 - Information security policies and procedures A.6.1.1 - Access control policy A.6.2.1 - User registration and access rights management A.6.2.2 - Privileged access rights A.7.1.1 - Cryptography policy A.8.2.1 - User awareness and training A.9.2.1 - User access management A.9.2.5 - Access rights review A.12.4.1 - Event logging A.12.4.3 - Administrator and operator logs
🔵 SAMA CSF
Governance - Risk Management Framework Governance - Incident Management Protection - Access Control and Authentication Protection - Data Protection and Privacy Detection - Security Monitoring and Logging Response - Incident Response and Management
🟡 ISO 27001:2022
5.15 - Access control 5.16 - Authentication 5.17 - Access rights 5.23 - Information security for supplier relationships 8.2 - Confidentiality 8.3 - Integrity 8.22 - Monitoring activities 8.23 - Review of information security and effectiveness
🟣 PCI DSS v4.0.1
Requirement 2.1 - Default security parameters Requirement 6.2 - Security patches Requirement 6.5.1 - Injection flaws Requirement 8.1 - User identification and authentication Requirement 8.2 - Strong authentication Requirement 10.2 - Automated audit trails
📊 CVSS Score
8.2
/ 10.0 — مرتفع
📊 CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:L/A:N
Attack VectorN — None / Network
Attack ComplexityL — Low / Local
Privileges RequiredN — None / Network
User InteractionN — None / Network
ScopeU — Unchanged
ConfidentialityH — High
IntegrityL — Low / Local
AvailabilityN — None / Network
📋 حقائق سريعة
الخطورة مرتفع
CVSS Score8.2
CWECWE-89
EPSS0.16%
اختراق متاح لا
تصحيح متاح ✗ لا
تاريخ النشر 2026-04-05
المصدر nvd
المشاهدات 5
🇸🇦 درجة المخاطر السعودية
8.8
/ 10.0 — مخاطر السعودية
أولوية: CRITICAL
🏷️ الوسوم
CWE-89
⚡ إجراءات
🔗 NVD Official Page ⚡ Exploit-DB Search 🐙 GitHub PoC Search 🎯 MITRE ATT&CK 📊 CVE Details
مشاركة ثغرة
LinkedIn X / Twitter WhatsApp Telegram

💬 التعليقات

0
جارٍ التحميل
📣 وجدت هذا مفيداً؟
شاركه مع شبكة الأمن السيبراني الخاصة بك
in لينكدإن 𝕏 تويتر 💬 واتساب ✈ تليجرام
🍪 إعدادات الخصوصية
سيزو للاستشارات — متوافق مع نظام حماية البيانات الشخصية السعودي (PDPL)
نستخدم ملفات تعريف الارتباط والتقنيات المشابهة لتوفير أفضل تجربة على منصتنا. يمكنك اختيار الأنواع التي تقبلها.
🔒
ملفات ضرورية Always On
مطلوبة لعمل الموقع بشكل صحيح. لا يمكن تعطيلها.
📋 الجلسات، CSRF، المصادقة، تفضيلات اللغة
📊
ملفات التحليلات
تساعدنا في فهم كيفية استخدام الزوار للموقع وتحسين الأداء.
📋 إحصائيات الصفحات، مدة الجلسة، مصدر الزيارة
⚙️
ملفات وظيفية
تتيح ميزات محسنة مثل تخصيص المحتوى والتفضيلات.
📋 السمة المظلمة/الفاتحة، حجم الخط، لوحات التحكم المخصصة
📣
ملفات تسويقية
تُستخدم لتقديم محتوى وإعلانات ذات صلة باهتماماتك.
📋 تتبع الحملات، إعادة الاستهداف، تحليلات وسائل التواصل
سياسة الخصوصية →
مساعد CISO الذكي
اسألني أي شيء · وثائق · دعم
🔐

عرّفنا بنفسك

أدخل بياناتك للوصول إلى المساعد الكامل

معلوماتك آمنة ولن تُشارك
💬
المساعد السيبراني
متصل — يرد في ثوانٍ
5 / 5
🔐 تحقق من هويتك

أدخل بريدك الإلكتروني لإرسال رمز تحقق قبل إرسال طلب الدعم.

Enter للإرسال · / للأوامر 0 / 2000
CISO AI · مدعوم بالذكاء الاصطناعي
✦ استطلاع سريع ساعدنا في تحسين منصة سيزو للاستشارات ملاحظاتك تشكّل مستقبل منصتنا — لا تستغرق سوى دقيقتين.
⚠ يرجى الإجابة على هذا السؤال للمتابعة

كيف تقيّم تجربتك العامة مع منصتنا؟

قيّم من 1 (ضعيف) إلى 5 (ممتاز)

🎉
شكراً جزيلاً!
تم تسجيل إجابتك بنجاح.