الثغرات ›

CVE-2020-10221

حرج 🇺🇸 CISA KEV ⚡ اختراق متاح

rConfig OS Command Injection Vulnerability — rConfig lib/ajaxHandlers/ajaxAddTemplate.php contains an OS command injection vulnerability that allows remote attackers to execute OS commands via shell m

                    نُشر: Nov 3, 2021                                          ·  المصدر: CISA_KEV                

CVSS v3

9.0

🔗 NVD الرسمي

📄 الوصف (الإنجليزية)

🤖 ملخص AI

rConfig contains an OS command injection vulnerability in ajaxAddTemplate.php that allows remote attackers to execute arbitrary operating system commands through the fileName POST parameter. This critical vulnerability affects all versions and requires immediate patching to prevent complete system compromise.

📄 الوصف (العربية)

ثغرة حقن أوامر نظام التشغيل في ملف ajaxAddTemplate.php بتطبيق rConfig تسمح للمهاجمين بتنفيذ أوامر نظام تشغيل عشوائية من خلال معامل POST غير المحقق منه. يمكن للمهاجمين استخدام أحرف shell metacharacters لتجاوز التحقق من الصحة وتنفيذ أوامر خطيرة على الخادم.

🤖 ملخص تنفيذي (AI)

يحتوي rConfig على ثغرة حقن أوامر نظام التشغيل في ملف ajaxAddTemplate.php تسمح للمهاجمين البعيدين بتنفيذ أوامر نظام تشغيل عشوائية عبر معامل POST في fileName. تؤثر هذه الثغرة الحرجة على جميع الإصدارات وتتطلب إصلاحًا فوريًا.

🤖 التحليل الذكي آخر تحليل: Apr 23, 2026 11:01

🇸🇦 التأثير على المملكة العربية السعودية

Saudi Relevance: high

🏢 القطاعات السعودية المتأثرة

telecom energy government banking

🎯 تقنيات MITRE ATT&CK

T1190 T1059 T1203 T1133

⚖️ درجة المخاطر السعودية (AI)

9.0

/ 10.0

🔧 Remediation Steps (English)

Immediately update rConfig to the latest patched version. Implement input validation and sanitization for all file upload parameters, specifically the fileName field. Apply Web Application Firewall (WAF) rules to block shell metacharacters in POST parameters. Restrict file upload functionality to authenticated users only and disable command execution in upload directories.

🔧 خطوات المعالجة (العربية)

قم بتحديث rConfig فوراً إلى أحدث إصدار مصحح. طبق التحقق من صحة المدخلات وتنظيفها لجميع معاملات تحميل الملفات، خاصة حقل fileName. طبق قواعد جدار الحماية لتطبيقات الويب لحظر أحرف shell metacharacters في معاملات POST. قيد وظيفة تحميل الملفات للمستخدمين المصرح لهم فقط وعطل تنفيذ الأوامر في مجلدات التحميل.

📋 خريطة الامتثال التنظيمي

🟢 NCA ECC 2024

ECC-1.1 ECC-2.1 ECC-3.1

🔵 SAMA CSF

ID.AM-2 PR.AC-1 PR.AC-3 DE.CM-1

🟡 ISO 27001:2022

A.12.2.1 A.14.2.1 A.14.2.5

🔗 المراجع والمصادر 0

لا توجد مراجع.

📦 المنتجات المتأثرة 1 منتج

rConfig:rConfig

📊 CVSS Score

9.0

/ 10.0 — حرج

📋 حقائق سريعة

الخطورة حرج

CVSS Score9.0

EPSS91.39%

اختراق متاح ✓ نعم

تصحيح متاح ✓ نعم

CISA KEV🇺🇸 Yes

تاريخ الإصلاح2022-05-03

تاريخ النشر 2021-11-03

المصدر cisa_kev

المشاهدات 6

🇸🇦 درجة المخاطر السعودية

9.0

/ 10.0 — مخاطر السعودية

أولوية: CRITICAL

🏷️ الوسوم

kev actively-exploited

⚡ إجراءات

🔗 NVD Official Page ⚡ Exploit-DB Search 🐙 GitHub PoC Search 🎯 MITRE ATT&CK 📊 CVE Details

💬 التعليقات

جارٍ التحميل

CVE-2020-10221

💬 التعليقات

عرّفنا بنفسك

تسجيل الدخول مطلوب