📧 info@ciso.sa | 📱 +966550939344 | الرياض، المملكة العربية السعودية
عن المنصة الأسئلة الشائعة اتصل بنا شروط الخدمة سياسة الخصوصية 🌐 English
🔐

مرحباً — سجّل دخولك أو أنشئ حساباً للوصول الكامل.

🔑 دخول ✨ حساب جديد
🌐 EN تسجيل الدخول إنشاء حساب
🔧 صيانة مجدولة — السبت 2:00-4:00 صباحاً. قد تكون بعض الميزات غير متاحة مؤقتاً.    ●   
💎
خطة Pro بخصم 50% احصل على جميع ميزات AI والتقارير غير المحدودة والدعم ذي الأولوية. الترقية الآن
مركز البحث
ESC للإغلاق
تنقل فتح Ctrl+K بحث
CISO Consulting
Global insider التعليم HIGH 3h Global supply_chain تطوير البرمجيات والتكنولوجيا HIGH 8h Global apt الحكومة والبنية التحتية الحرجة CRITICAL 10h Global vulnerability برامج المؤسسات / تحليل البيانات CRITICAL 11h Global vulnerability الذكاء الاصطناعي والتكنولوجيا HIGH 14h Global general قطاع التكنولوجيا والذكاء الاصطناعي MEDIUM 18h Global general قطاع التكنولوجيا والذكاء الاصطناعي HIGH 19h Global vulnerability التعليم العالي CRITICAL 1d Global data_breach القطاع الحكومي HIGH 1d Global supply_chain تطوير البرمجيات والمجتمعات مفتوحة المصدر CRITICAL 1d Global insider التعليم HIGH 3h Global supply_chain تطوير البرمجيات والتكنولوجيا HIGH 8h Global apt الحكومة والبنية التحتية الحرجة CRITICAL 10h Global vulnerability برامج المؤسسات / تحليل البيانات CRITICAL 11h Global vulnerability الذكاء الاصطناعي والتكنولوجيا HIGH 14h Global general قطاع التكنولوجيا والذكاء الاصطناعي MEDIUM 18h Global general قطاع التكنولوجيا والذكاء الاصطناعي HIGH 19h Global vulnerability التعليم العالي CRITICAL 1d Global data_breach القطاع الحكومي HIGH 1d Global supply_chain تطوير البرمجيات والمجتمعات مفتوحة المصدر CRITICAL 1d Global insider التعليم HIGH 3h Global supply_chain تطوير البرمجيات والتكنولوجيا HIGH 8h Global apt الحكومة والبنية التحتية الحرجة CRITICAL 10h Global vulnerability برامج المؤسسات / تحليل البيانات CRITICAL 11h Global vulnerability الذكاء الاصطناعي والتكنولوجيا HIGH 14h Global general قطاع التكنولوجيا والذكاء الاصطناعي MEDIUM 18h Global general قطاع التكنولوجيا والذكاء الاصطناعي HIGH 19h Global vulnerability التعليم العالي CRITICAL 1d Global data_breach القطاع الحكومي HIGH 1d Global supply_chain تطوير البرمجيات والمجتمعات مفتوحة المصدر CRITICAL 1d
الثغرات

CVE-2020-37076

مرتفع ⚡ اختراق متاح
Victor CMS version 1.0 contains a SQL injection vulnerability in the 'post' parameter on post.php that allows remote attackers to manipulate database queries. Attackers can exploit this vulnerability
CWE-89 — نوع الضعف
نُشر: Feb 3, 2026  ·  آخر تحديث: Feb 28, 2026  ·  المصدر: NVD
CVSS v3
8.2
🔗 NVD الرسمي
📄 الوصف (الإنجليزية)

Victor CMS version 1.0 contains a SQL injection vulnerability in the 'post' parameter on post.php that allows remote attackers to manipulate database queries. Attackers can exploit this vulnerability by sending crafted UNION SELECT payloads to extract database information through boolean-based, error-based, and time-based injection techniques.

🤖 ملخص AI

Victor CMS 1.0 contains a critical SQL injection vulnerability in the 'post' parameter of post.php that allows unauthenticated remote attackers to extract sensitive database information. The vulnerability supports multiple injection techniques (boolean-based, error-based, time-based) and has publicly available exploits. Organizations using Victor CMS 1.0 should prioritize immediate patching or decommissioning of affected instances.

📄 الوصف (العربية)

🤖 التحليل الذكي آخر تحليل: Apr 25, 2026 17:56
🇸🇦 التأثير على المملكة العربية السعودية
This vulnerability poses significant risk to Saudi organizations using Victor CMS 1.0 for content management, particularly in government agencies, educational institutions, and small-to-medium enterprises. Banking and financial sectors using Victor CMS for customer-facing portals face elevated risk of data breach and regulatory non-compliance with SAMA requirements. Healthcare organizations could face patient data exposure violating MOH regulations. The availability of public exploits increases attack likelihood against Saudi infrastructure.
🏢 القطاعات السعودية المتأثرة
Government and Public Administration Education and Universities Banking and Financial Services Healthcare and Medical Institutions Telecommunications Small and Medium Enterprises (SMEs) E-commerce and Retail
⚖️ درجة المخاطر السعودية (AI)
8.5
/ 10.0
🔧 Remediation Steps (English)
IMMEDIATE ACTIONS:

1. Identify all Victor CMS 1.0 instances in your environment using network scanning and asset inventory tools

2. Isolate affected systems from production networks if patching cannot be completed within 24 hours

3. Enable Web Application Firewall (WAF) rules to block SQL injection patterns in the 'post' parameter



PATCHING:

1. Upgrade Victor CMS to version 1.1 or later immediately

2. Apply input validation and parameterized queries to post.php

3. Test patches in staging environment before production deployment



COMPENSATING CONTROLS (if immediate patching unavailable):

1. Implement database access controls limiting query scope

2. Deploy IDS/IPS signatures detecting UNION SELECT payloads

3. Monitor database query logs for suspicious patterns

4. Restrict network access to post.php to authorized users only



DETECTION RULES:

1. Monitor HTTP requests containing: UNION, SELECT, OR 1=1, SLEEP(), BENCHMARK() in 'post' parameter

2. Alert on database error messages in HTTP responses

3. Track unusual database connection patterns and query volumes

4. Log all access attempts to post.php with parameter values
🔧 خطوات المعالجة (العربية)
الإجراءات الفورية:

1. تحديد جميع نسخ Victor CMS 1.0 في بيئتك باستخدام أدوات المسح والجرد

2. عزل الأنظمة المتأثرة عن شبكات الإنتاج إذا لم يتمكن التصحيح خلال 24 ساعة

3. تفعيل قواعد جدار حماية تطبيقات الويب لحجب أنماط حقن SQL



التصحيح:

1. ترقية Victor CMS إلى الإصدار 1.1 أو أحدث فوراً

2. تطبيق التحقق من صحة المدخلات والاستعلامات المعاملة في post.php

3. اختبار التصحيحات في بيئة التجريب قبل نشرها في الإنتاج



الضوابط البديلة (إذا تعذر التصحيح الفوري):

1. تنفيذ ضوابط الوصول إلى قاعدة البيانات لتحديد نطاق الاستعلام

2. نشر توقيعات IDS/IPS للكشف عن حمولات UNION SELECT

3. مراقبة سجلات استعلامات قاعدة البيانات للأنماط المريبة

4. تقييد الوصول إلى post.php للمستخدمين المصرح لهم فقط



قواعد الكشف:

1. مراقبة طلبات HTTP التي تحتوي على: UNION, SELECT, OR 1=1, SLEEP(), BENCHMARK() في معامل 'post'

2. التنبيه على رسائل خطأ قاعدة البيانات في استجابات HTTP

3. تتبع أنماط اتصال قاعدة البيانات غير العادية وأحجام الاستعلام

4. تسجيل جميع محاولات الوصول إلى post.php مع قيم المعاملات
📋 خريطة الامتثال التنظيمي
🟢 NCA ECC 2024
ECC 2024 A.14.2.1 - Information security requirements for system development and maintenance ECC 2024 A.14.3.1 - Segregation of development, test and production environments ECC 2024 A.12.6.1 - Management of technical vulnerabilities
🔵 SAMA CSF
SAMA CSF ID.BE-1 - Business objectives and strategies aligned with cybersecurity SAMA CSF PR.DS-6 - Data is protected from unauthorized access and disclosure SAMA CSF DE.CM-1 - The network is monitored to detect potential cybersecurity events
🟡 ISO 27001:2022
ISO 27001:2022 A.8.2.3 - Segregation of duties ISO 27001:2022 A.14.2.1 - Secure development policy ISO 27001:2022 A.12.6.1 - Management of technical vulnerabilities
🟣 PCI DSS v4.0.1
PCI DSS 6.5.1 - Injection flaws prevention PCI DSS 6.2 - Security patches and updates
📦 المنتجات المتأثرة 1 منتج
victor_cms_project:victor_cms:1.0
📊 CVSS Score
8.2
/ 10.0 — مرتفع
📊 CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:L/A:N
Attack VectorN — None / Network
Attack ComplexityL — Low / Local
Privileges RequiredN — None / Network
User InteractionN — None / Network
ScopeU — Unchanged
ConfidentialityH — High
IntegrityL — Low / Local
AvailabilityN — None / Network
📋 حقائق سريعة
الخطورة مرتفع
CVSS Score8.2
CWECWE-89
EPSS0.10%
اختراق متاح ✓ نعم
تصحيح متاح ✓ نعم
تاريخ النشر 2026-02-03
المصدر nvd
المشاهدات 6
🇸🇦 درجة المخاطر السعودية
8.5
/ 10.0 — مخاطر السعودية
أولوية: CRITICAL
🏷️ الوسوم
exploit-available CWE-89
⚡ إجراءات
🔗 NVD Official Page ⚡ Exploit-DB Search 🐙 GitHub PoC Search 🎯 MITRE ATT&CK 📊 CVE Details
مشاركة ثغرة
LinkedIn X / Twitter WhatsApp Telegram

💬 التعليقات

0
جارٍ التحميل
📣 وجدت هذا مفيداً؟
شاركه مع شبكة الأمن السيبراني الخاصة بك
in لينكدإن 𝕏 تويتر 💬 واتساب ✈ تليجرام
🍪 إعدادات الخصوصية
سيزو للاستشارات — متوافق مع نظام حماية البيانات الشخصية السعودي (PDPL)
نستخدم ملفات تعريف الارتباط والتقنيات المشابهة لتوفير أفضل تجربة على منصتنا. يمكنك اختيار الأنواع التي تقبلها.
🔒
ملفات ضرورية Always On
مطلوبة لعمل الموقع بشكل صحيح. لا يمكن تعطيلها.
📋 الجلسات، CSRF، المصادقة، تفضيلات اللغة
📊
ملفات التحليلات
تساعدنا في فهم كيفية استخدام الزوار للموقع وتحسين الأداء.
📋 إحصائيات الصفحات، مدة الجلسة، مصدر الزيارة
⚙️
ملفات وظيفية
تتيح ميزات محسنة مثل تخصيص المحتوى والتفضيلات.
📋 السمة المظلمة/الفاتحة، حجم الخط، لوحات التحكم المخصصة
📣
ملفات تسويقية
تُستخدم لتقديم محتوى وإعلانات ذات صلة باهتماماتك.
📋 تتبع الحملات، إعادة الاستهداف، تحليلات وسائل التواصل
سياسة الخصوصية →
مساعد CISO الذكي
اسألني أي شيء · وثائق · دعم
🔐

عرّفنا بنفسك

أدخل بياناتك للوصول إلى المساعد الكامل

معلوماتك آمنة ولن تُشارك
💬
المساعد السيبراني
متصل — يرد في ثوانٍ
5 / 5
🔐 تحقق من هويتك

أدخل بريدك الإلكتروني لإرسال رمز تحقق قبل إرسال طلب الدعم.

Enter للإرسال · / للأوامر 0 / 2000
CISO AI · مدعوم بالذكاء الاصطناعي
✦ استطلاع سريع ساعدنا في تحسين منصة سيزو للاستشارات ملاحظاتك تشكّل مستقبل منصتنا — لا تستغرق سوى دقيقتين.
⚠ يرجى الإجابة على هذا السؤال للمتابعة

كيف تقيّم تجربتك العامة مع منصتنا؟

قيّم من 1 (ضعيف) إلى 5 (ممتاز)

🎉
شكراً جزيلاً!
تم تسجيل إجابتك بنجاح.