📧 info@ciso.sa | 📱 +966550939344 | الرياض، المملكة العربية السعودية
عن المنصة الأسئلة الشائعة اتصل بنا شروط الخدمة سياسة الخصوصية 🌐 English
🔐

مرحباً — سجّل دخولك أو أنشئ حساباً للوصول الكامل.

🔑 دخول ✨ حساب جديد
🌐 EN تسجيل الدخول إنشاء حساب
🔧 صيانة مجدولة — السبت 2:00-4:00 صباحاً. قد تكون بعض الميزات غير متاحة مؤقتاً.    ●   
💎
خطة Pro بخصم 50% احصل على جميع ميزات AI والتقارير غير المحدودة والدعم ذي الأولوية. الترقية الآن
مركز البحث
ESC للإغلاق
تنقل فتح Ctrl+K بحث
CISO Consulting
Global insider التعليم HIGH 3h Global supply_chain تطوير البرمجيات والتكنولوجيا HIGH 8h Global apt الحكومة والبنية التحتية الحرجة CRITICAL 10h Global vulnerability برامج المؤسسات / تحليل البيانات CRITICAL 11h Global vulnerability الذكاء الاصطناعي والتكنولوجيا HIGH 14h Global general قطاع التكنولوجيا والذكاء الاصطناعي MEDIUM 18h Global general قطاع التكنولوجيا والذكاء الاصطناعي HIGH 19h Global vulnerability التعليم العالي CRITICAL 1d Global data_breach القطاع الحكومي HIGH 1d Global supply_chain تطوير البرمجيات والمجتمعات مفتوحة المصدر CRITICAL 1d Global insider التعليم HIGH 3h Global supply_chain تطوير البرمجيات والتكنولوجيا HIGH 8h Global apt الحكومة والبنية التحتية الحرجة CRITICAL 10h Global vulnerability برامج المؤسسات / تحليل البيانات CRITICAL 11h Global vulnerability الذكاء الاصطناعي والتكنولوجيا HIGH 14h Global general قطاع التكنولوجيا والذكاء الاصطناعي MEDIUM 18h Global general قطاع التكنولوجيا والذكاء الاصطناعي HIGH 19h Global vulnerability التعليم العالي CRITICAL 1d Global data_breach القطاع الحكومي HIGH 1d Global supply_chain تطوير البرمجيات والمجتمعات مفتوحة المصدر CRITICAL 1d Global insider التعليم HIGH 3h Global supply_chain تطوير البرمجيات والتكنولوجيا HIGH 8h Global apt الحكومة والبنية التحتية الحرجة CRITICAL 10h Global vulnerability برامج المؤسسات / تحليل البيانات CRITICAL 11h Global vulnerability الذكاء الاصطناعي والتكنولوجيا HIGH 14h Global general قطاع التكنولوجيا والذكاء الاصطناعي MEDIUM 18h Global general قطاع التكنولوجيا والذكاء الاصطناعي HIGH 19h Global vulnerability التعليم العالي CRITICAL 1d Global data_breach القطاع الحكومي HIGH 1d Global supply_chain تطوير البرمجيات والمجتمعات مفتوحة المصدر CRITICAL 1d
الثغرات

CVE-2020-37033

مرتفع
Infor Storefront B2B 1.0 contains a SQL injection vulnerability that allows attackers to manipulate database queries through the 'usr_name' parameter in login requests. Attackers can exploit the vulne
CWE-89 — نوع الضعف
نُشر: Jan 30, 2026  ·  آخر تحديث: Feb 28, 2026  ·  المصدر: NVD
CVSS v3
8.2
🔗 NVD الرسمي
📄 الوصف (الإنجليزية)

Infor Storefront B2B 1.0 contains a SQL injection vulnerability that allows attackers to manipulate database queries through the 'usr_name' parameter in login requests. Attackers can exploit the vulnerability by injecting malicious SQL code into the 'usr_name' parameter to potentially extract or modify database information.

🤖 ملخص AI

CVE-2020-37033 is a critical SQL injection vulnerability in Infor Storefront B2B 1.0 affecting the login mechanism through the 'usr_name' parameter. With a CVSS score of 8.2, attackers can manipulate database queries to extract sensitive information or modify data without authentication. Organizations using this platform face immediate risk of credential compromise and unauthorized data access.

📄 الوصف (العربية)

🤖 التحليل الذكي آخر تحليل: Apr 25, 2026 15:49
🇸🇦 التأثير على المملكة العربية السعودية
This vulnerability poses significant risk to Saudi organizations using Infor Storefront B2B for e-commerce and B2B operations. Most affected sectors include: Banking and Financial Services (SAMA-regulated entities using B2B platforms), Government procurement systems, Healthcare institutions managing supplier portals, Energy sector (ARAMCO and subsidiaries), Telecommunications (STC, Mobily), and Retail/E-commerce enterprises. The vulnerability enables unauthorized database access, customer data theft, financial transaction manipulation, and supply chain disruption.
🏢 القطاعات السعودية المتأثرة
Banking and Financial Services Government and Public Administration Healthcare Energy and Utilities Telecommunications Retail and E-commerce Manufacturing and Supply Chain
⚖️ درجة المخاطر السعودية (AI)
8.5
/ 10.0
🔧 Remediation Steps (English)
IMMEDIATE ACTIONS:

1. Identify all instances of Infor Storefront B2B 1.0 in your environment and isolate affected systems from production networks if possible

2. Implement Web Application Firewall (WAF) rules to block SQL injection patterns in the 'usr_name' parameter (e.g., block requests containing: ', ", --, ;, OR, UNION, SELECT)

3. Enable comprehensive logging and monitoring of all login attempts and database queries

4. Reset all user credentials and enforce password changes across the platform

5. Conduct immediate database audit for unauthorized access or modifications



PATCHING GUIDANCE:

1. Apply the available patch from Infor immediately to all affected Storefront B2B 1.0 instances

2. Test patch in non-production environment before deployment

3. Schedule maintenance window for production patching with minimal business disruption

4. Verify patch effectiveness by attempting SQL injection payloads in test environment



COMPENSATING CONTROLS (if patching delayed):

1. Implement input validation and sanitization at application layer

2. Use parameterized queries/prepared statements for all database interactions

3. Apply principle of least privilege to database service accounts

4. Enable database activity monitoring and alerting

5. Restrict network access to Storefront B2B to authorized IP ranges only



DETECTION RULES:

1. Monitor for SQL keywords in 'usr_name' parameter: UNION, SELECT, INSERT, UPDATE, DELETE, DROP, OR, AND, --, /*

2. Alert on multiple failed login attempts followed by successful access

3. Detect unusual database query patterns or high-volume data extraction

4. Monitor for database schema enumeration attempts

5. Track modifications to user accounts or privilege escalations
🔧 خطوات المعالجة (العربية)
الإجراءات الفورية:

1. حدد جميع نسخ Infor Storefront B2B 1.0 في بيئتك وعزل الأنظمة المتأثرة عن شبكات الإنتاج إن أمكن

2. طبق قواعد جدار حماية تطبيقات الويب (WAF) لحجب أنماط حقن SQL في معامل 'usr_name'

3. فعّل التسجيل الشامل ومراقبة جميع محاولات تسجيل الدخول واستعلامات قاعدة البيانات

4. أعد تعيين جميع بيانات اعتماد المستخدمين وفرض تغيير كلمات المرور

5. أجرِ تدقيق فوري لقاعدة البيانات للتحقق من الوصول غير المصرح به



إرشادات التصحيح:

1. طبق التصحيح المتاح من Infor فوراً على جميع نسخ Storefront B2B 1.0 المتأثرة

2. اختبر التصحيح في بيئة غير الإنتاج قبل النشر

3. جدول نافذة صيانة لتصحيح الإنتاج مع تقليل التأثير على الأعمال

4. تحقق من فعالية التصحيح بمحاولة حقن SQL في بيئة الاختبار



الضوابط البديلة (إذا تأخر التصحيح):

1. طبق التحقق من صحة المدخلات والتطهير على مستوى التطبيق

2. استخدم الاستعلامات المعاملة/البيانات المحضرة لجميع تفاعلات قاعدة البيانات

3. طبق مبدأ أقل امتياز على حسابات خدمة قاعدة البيانات

4. فعّل مراقبة نشاط قاعدة البيانات والتنبيهات

5. قيّد الوصول إلى الشبكة إلى Storefront B2B للنطاقات المصرح بها فقط



قواعد الكشف:

1. راقب كلمات SQL الرئيسية في معامل 'usr_name': UNION, SELECT, INSERT, UPDATE, DELETE, DROP, OR, AND

2. نبّه عند محاولات تسجيل دخول متعددة فاشلة متبوعة بوصول ناجح

3. اكتشف أنماط استعلامات قاعدة البيانات غير العادية أو استخراج البيانات بحجم كبير

4. راقب محاولات تعداد مخطط قاعدة البيانات

5. تتبع التعديلات على حسابات المستخدمين أو تصعيد الامتيازات
📋 خريطة الامتثال التنظيمي
🟢 NCA ECC 2024
5.1 - Access Control and Authentication 5.2 - User Access Management 6.1 - Cryptography and Data Protection 6.2 - Data Integrity 7.1 - Security Event Logging 7.2 - Monitoring and Alerting
🔵 SAMA CSF
ID.AM-2 - Software Inventory PR.AC-1 - Access Control Policy PR.AC-4 - Access Control Implementation PR.DS-2 - Data Security DE.CM-1 - Monitoring and Detection DE.AE-1 - Anomaly Detection
🟡 ISO 27001:2022
A.5.2 - User Access Management A.6.2 - Access Rights A.8.2 - Classification of Information A.9.2 - User Access Management A.12.4 - Logging A.14.2 - Secure Development Policy
🟣 PCI DSS v4.0.1
Requirement 1 - Firewall Configuration Requirement 2 - Default Passwords Requirement 6 - Secure Development Requirement 6.5.1 - SQL Injection Prevention Requirement 8 - User Identification and Authentication Requirement 10 - Logging and Monitoring
📊 CVSS Score
8.2
/ 10.0 — مرتفع
📊 CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:L/A:N
Attack VectorN — None / Network
Attack ComplexityL — Low / Local
Privileges RequiredN — None / Network
User InteractionN — None / Network
ScopeU — Unchanged
ConfidentialityH — High
IntegrityL — Low / Local
AvailabilityN — None / Network
📋 حقائق سريعة
الخطورة مرتفع
CVSS Score8.2
CWECWE-89
EPSS0.02%
اختراق متاح لا
تصحيح متاح ✓ نعم
تاريخ النشر 2026-01-30
المصدر nvd
المشاهدات 6
🇸🇦 درجة المخاطر السعودية
8.5
/ 10.0 — مخاطر السعودية
أولوية: CRITICAL
🏷️ الوسوم
CWE-89
⚡ إجراءات
🔗 NVD Official Page ⚡ Exploit-DB Search 🐙 GitHub PoC Search 🎯 MITRE ATT&CK 📊 CVE Details
مشاركة ثغرة
LinkedIn X / Twitter WhatsApp Telegram

💬 التعليقات

0
جارٍ التحميل
📣 وجدت هذا مفيداً؟
شاركه مع شبكة الأمن السيبراني الخاصة بك
in لينكدإن 𝕏 تويتر 💬 واتساب ✈ تليجرام
🍪 إعدادات الخصوصية
سيزو للاستشارات — متوافق مع نظام حماية البيانات الشخصية السعودي (PDPL)
نستخدم ملفات تعريف الارتباط والتقنيات المشابهة لتوفير أفضل تجربة على منصتنا. يمكنك اختيار الأنواع التي تقبلها.
🔒
ملفات ضرورية Always On
مطلوبة لعمل الموقع بشكل صحيح. لا يمكن تعطيلها.
📋 الجلسات، CSRF، المصادقة، تفضيلات اللغة
📊
ملفات التحليلات
تساعدنا في فهم كيفية استخدام الزوار للموقع وتحسين الأداء.
📋 إحصائيات الصفحات، مدة الجلسة، مصدر الزيارة
⚙️
ملفات وظيفية
تتيح ميزات محسنة مثل تخصيص المحتوى والتفضيلات.
📋 السمة المظلمة/الفاتحة، حجم الخط، لوحات التحكم المخصصة
📣
ملفات تسويقية
تُستخدم لتقديم محتوى وإعلانات ذات صلة باهتماماتك.
📋 تتبع الحملات، إعادة الاستهداف، تحليلات وسائل التواصل
سياسة الخصوصية →
مساعد CISO الذكي
اسألني أي شيء · وثائق · دعم
🔐

عرّفنا بنفسك

أدخل بياناتك للوصول إلى المساعد الكامل

معلوماتك آمنة ولن تُشارك
💬
المساعد السيبراني
متصل — يرد في ثوانٍ
5 / 5
🔐 تحقق من هويتك

أدخل بريدك الإلكتروني لإرسال رمز تحقق قبل إرسال طلب الدعم.

Enter للإرسال · / للأوامر 0 / 2000
CISO AI · مدعوم بالذكاء الاصطناعي
✦ استطلاع سريع ساعدنا في تحسين منصة سيزو للاستشارات ملاحظاتك تشكّل مستقبل منصتنا — لا تستغرق سوى دقيقتين.
⚠ يرجى الإجابة على هذا السؤال للمتابعة

كيف تقيّم تجربتك العامة مع منصتنا؟

قيّم من 1 (ضعيف) إلى 5 (ممتاز)

🎉
شكراً جزيلاً!
تم تسجيل إجابتك بنجاح.