📄 الوصف (الإنجليزية)
Online-Exam-System 2015 contains a SQL injection vulnerability in the feedback module that allows attackers to manipulate database queries through the 'fid' parameter. Attackers can inject malicious SQL code into the 'fid' parameter to potentially extract, modify, or delete database information.
🤖 ملخص AI
CVE-2020-37057 is a SQL injection vulnerability in Online-Exam-System 2015's feedback module affecting the 'fid' parameter, allowing attackers to manipulate database queries and potentially extract, modify, or delete sensitive data. With a CVSS score of 8.2 and no known public exploits currently available, this vulnerability poses a significant risk to educational institutions and organizations using this legacy system. Immediate patching is critical as SQL injection remains a prevalent attack vector in the region.
📄 الوصف (العربية)
🤖 التحليل الذكي آخر تحليل: Apr 25, 2026 17:54
🇸🇦 التأثير على المملكة العربية السعودية
This vulnerability primarily impacts Saudi educational institutions, universities, and government training centers using Online-Exam-System 2015. Secondary impact extends to government agencies (NCA, NCSC oversight), healthcare institutions conducting online assessments, and private sector organizations using this legacy system for employee training. The vulnerability could lead to unauthorized access to student records, exam answers, personal information, and institutional data. Given Saudi Arabia's digital transformation initiatives and increased online education adoption post-COVID, legacy system vulnerabilities pose compliance risks under NCA ECC 2024 and SAMA CSF frameworks.
🏢 القطاعات السعودية المتأثرة
Education
Government
Healthcare
Private Sector Training
Higher Education Institutions
🎯 تقنيات MITRE ATT&CK
⚖️ درجة المخاطر السعودية (AI)
7.8
/ 10.0
🔧 Remediation Steps (English)
IMMEDIATE ACTIONS:
1. Identify all instances of Online-Exam-System 2015 in your organization using network scanning and asset inventory tools
2. Isolate affected systems from production networks if possible, or implement network segmentation
3. Review database access logs for suspicious SQL patterns or unauthorized queries
4. Implement Web Application Firewall (WAF) rules to block SQL injection attempts targeting the 'fid' parameter
PATCHING GUIDANCE:
1. Apply the available patch immediately to all affected systems
2. Test patches in a staging environment before production deployment
3. If patching is delayed, implement input validation and parameterized queries
COMPENSATING CONTROLS:
1. Implement strict input validation on the 'fid' parameter (whitelist alphanumeric characters only)
2. Use prepared statements and parameterized queries for all database interactions
3. Apply principle of least privilege to database user accounts
4. Enable database query logging and monitoring for anomalous SQL patterns
5. Implement rate limiting on feedback submission endpoints
DETECTION RULES:
1. Monitor for SQL keywords (UNION, SELECT, DROP, DELETE, INSERT) in 'fid' parameter values
2. Alert on multiple failed database queries from single source
3. Track unusual database connection patterns or privilege escalation attempts
4. Log and alert on any modifications to exam data or student records
🔧 خطوات المعالجة (العربية)
الإجراءات الفورية:
1. تحديد جميع نسخ نظام الامتحانات الإلكترونية 2015 في مؤسستك باستخدام أدوات المسح والجرد
2. عزل الأنظمة المتأثرة عن شبكات الإنتاج إن أمكن، أو تطبيق تقسيم الشبكة
3. مراجعة سجلات الوصول إلى قاعدة البيانات للبحث عن أنماط SQL مريبة
4. تطبيق قواعد جدار الحماية لتطبيقات الويب لحجب محاولات حقن SQL
إرشادات التصحيح:
1. تطبيق التصحيح المتاح فوراً على جميع الأنظمة المتأثرة
2. اختبار التصحيحات في بيئة التطوير قبل النشر في الإنتاج
3. إذا تأخر التصحيح، تطبيق التحقق من صحة المدخلات والاستعلامات المعاملة
الضوابط البديلة:
1. تطبيق التحقق الصارم من صحة معامل 'fid' (قائمة بيضاء للأحرف الأبجدية الرقمية فقط)
2. استخدام الاستعلامات المعدة والاستعلامات المعاملة لجميع تفاعلات قاعدة البيانات
3. تطبيق مبدأ أقل امتياز على حسابات مستخدمي قاعدة البيانات
4. تفعيل تسجيل استعلامات قاعدة البيانات والمراقبة للأنماط غير الطبيعية
5. تطبيق تحديد معدل على نقاط نهاية تقديم التغذية الراجعة
قواعد الكشف:
1. مراقبة كلمات SQL الرئيسية في قيم معامل 'fid'
2. التنبيه على استعلامات قاعدة البيانات الفاشلة المتعددة من مصدر واحد
3. تتبع أنماط اتصال قاعدة البيانات غير العادية
4. تسجيل والتنبيه على أي تعديلات على بيانات الامتحانات
📋 خريطة الامتثال التنظيمي
🟢 NCA ECC 2024
A.14.2.1 - Secure development policy
A.14.2.5 - Secure development environment
A.13.1.1 - Network security perimeter
A.13.1.3 - Segregation of networks
A.12.4.1 - Event logging
A.12.4.3 - Administrator and operator logs
🔵 SAMA CSF
ID.GV-1 - Organizational cybersecurity policy
PR.DS-1 - Data security management
PR.DS-2 - Data in transit protection
DE.CM-1 - Network monitoring
DE.AE-1 - Anomalies and events detection
RS.RP-1 - Response planning
🟡 ISO 27001:2022
A.6.1.1 - Information security policies
A.8.1.1 - User endpoint devices
A.12.2.1 - Information and system access control
A.12.4.1 - Event logging
A.13.1.1 - Network security perimeter
A.14.2.1 - Secure development policy
🟣 PCI DSS v4.0.1
Requirement 6.5.1 - Injection flaws prevention
Requirement 6.2 - Security patches
Requirement 10.2 - User access logging
Requirement 11.3 - Penetration testing