📧 info@ciso.sa | 📱 +966550939344 | الرياض، المملكة العربية السعودية
عن المنصة الأسئلة الشائعة اتصل بنا شروط الخدمة سياسة الخصوصية 🌐 English
🔐

مرحباً — سجّل دخولك أو أنشئ حساباً للوصول الكامل.

🔑 دخول ✨ حساب جديد
🌐 EN تسجيل الدخول إنشاء حساب
🔧 صيانة مجدولة — السبت 2:00-4:00 صباحاً. قد تكون بعض الميزات غير متاحة مؤقتاً.    ●   
💎
خطة Pro بخصم 50% احصل على جميع ميزات AI والتقارير غير المحدودة والدعم ذي الأولوية. الترقية الآن
مركز البحث
ESC للإغلاق
تنقل فتح Ctrl+K بحث
CISO Consulting
Global supply_chain تطوير البرمجيات والتكنولوجيا HIGH 23m Global apt الحكومة والبنية التحتية الحرجة CRITICAL 2h Global vulnerability برامج المؤسسات / تحليل البيانات CRITICAL 2h Global vulnerability الذكاء الاصطناعي والتكنولوجيا HIGH 6h Global general قطاع التكنولوجيا والذكاء الاصطناعي MEDIUM 9h Global general قطاع التكنولوجيا والذكاء الاصطناعي HIGH 10h Global vulnerability التعليم العالي CRITICAL 19h Global data_breach القطاع الحكومي HIGH 20h Global supply_chain تطوير البرمجيات والمجتمعات مفتوحة المصدر CRITICAL 20h Global malware تطوير البرمجيات CRITICAL 20h Global supply_chain تطوير البرمجيات والتكنولوجيا HIGH 23m Global apt الحكومة والبنية التحتية الحرجة CRITICAL 2h Global vulnerability برامج المؤسسات / تحليل البيانات CRITICAL 2h Global vulnerability الذكاء الاصطناعي والتكنولوجيا HIGH 6h Global general قطاع التكنولوجيا والذكاء الاصطناعي MEDIUM 9h Global general قطاع التكنولوجيا والذكاء الاصطناعي HIGH 10h Global vulnerability التعليم العالي CRITICAL 19h Global data_breach القطاع الحكومي HIGH 20h Global supply_chain تطوير البرمجيات والمجتمعات مفتوحة المصدر CRITICAL 20h Global malware تطوير البرمجيات CRITICAL 20h Global supply_chain تطوير البرمجيات والتكنولوجيا HIGH 23m Global apt الحكومة والبنية التحتية الحرجة CRITICAL 2h Global vulnerability برامج المؤسسات / تحليل البيانات CRITICAL 2h Global vulnerability الذكاء الاصطناعي والتكنولوجيا HIGH 6h Global general قطاع التكنولوجيا والذكاء الاصطناعي MEDIUM 9h Global general قطاع التكنولوجيا والذكاء الاصطناعي HIGH 10h Global vulnerability التعليم العالي CRITICAL 19h Global data_breach القطاع الحكومي HIGH 20h Global supply_chain تطوير البرمجيات والمجتمعات مفتوحة المصدر CRITICAL 20h Global malware تطوير البرمجيات CRITICAL 20h
الثغرات

CVE-2020-37104

مرتفع ⚡ اختراق متاح
ASTPP 4.0.1 contains an information disclosure vulnerability that allows unauthenticated attackers to download database backup files by predicting backup filename patterns. Attackers can generate a li
CWE-538 — نوع الضعف
نُشر: Feb 11, 2026  ·  آخر تحديث: Feb 28, 2026  ·  المصدر: NVD
CVSS v3
7.5
🔗 NVD الرسمي
📄 الوصف (الإنجليزية)

ASTPP 4.0.1 contains an information disclosure vulnerability that allows unauthenticated attackers to download database backup files by predicting backup filename patterns. Attackers can generate a list of 6-digit PIN combinations and fuzz the backup download URL to exfiltrate sensitive database information from the /database_backup/ directory.

🤖 ملخص AI

CVE-2020-37104 is a critical information disclosure vulnerability in ASTPP 4.0.1 that allows unauthenticated attackers to download database backup files through predictable filename patterns. Attackers can enumerate 6-digit PIN combinations to access the /database_backup/ directory and exfiltrate sensitive database information. With a CVSS score of 7.5 and publicly available exploits, this vulnerability poses an immediate risk to organizations using ASTPP for telecom billing and VoIP services.

📄 الوصف (العربية)

🤖 التحليل الذكي آخر تحليل: Apr 30, 2026 06:01
🇸🇦 التأثير على المملكة العربية السعودية
This vulnerability directly impacts Saudi telecommunications providers (STC, Mobily, Zain) and VoIP service providers using ASTPP for billing systems. Government agencies and financial institutions using ASTPP for communication billing face exposure of sensitive customer data, call records, and financial information. Healthcare providers using ASTPP for internal communication systems could expose patient data. The vulnerability allows complete database exfiltration without authentication, potentially compromising PII, payment card data, and operational intelligence. SAMA-regulated financial institutions and NCA-supervised government entities are at highest risk due to the sensitivity of exposed data.
🏢 القطاعات السعودية المتأثرة
Telecommunications (STC, Mobily, Zain) Banking and Financial Services Government and Public Administration Healthcare Energy and Utilities VoIP Service Providers
⚖️ درجة المخاطر السعودية (AI)
8.2
/ 10.0
🔧 Remediation Steps (English)
IMMEDIATE ACTIONS:

1. Identify all ASTPP 4.0.1 instances in your environment and isolate them from internet-facing access

2. Implement network-level access controls restricting /database_backup/ directory access to authorized IPs only

3. Enable authentication and authorization checks on all backup download endpoints

4. Review access logs for the /database_backup/ directory for signs of exploitation (multiple 404/403 responses, sequential PIN attempts)



PATCHING:

1. Upgrade ASTPP to version 4.0.2 or later immediately

2. Apply vendor security patches and verify backup file access controls are enforced

3. Regenerate all database credentials and encryption keys after patching



COMPENSATING CONTROLS (if immediate patching not possible):

1. Implement Web Application Firewall (WAF) rules to block /database_backup/ directory access

2. Move backup files to a non-web-accessible location

3. Implement rate limiting on backup download endpoints

4. Enable multi-factor authentication for administrative access

5. Encrypt all database backups at rest and in transit



DETECTION:

1. Monitor for HTTP requests to /database_backup/ with sequential or pattern-based parameters

2. Alert on multiple failed authentication attempts to backup endpoints

3. Track unusual data exfiltration patterns from database servers

4. Implement IDS/IPS signatures for ASTPP backup enumeration attempts
🔧 خطوات المعالجة (العربية)
الإجراءات الفورية:

1. حدد جميع مثيلات ASTPP 4.0.1 في بيئتك وعزلها عن الوصول المواجه للإنترنت

2. تطبيق عناصر التحكم في الوصول على مستوى الشبكة لتقييد وصول دليل /database_backup/ إلى عناوين IP المصرح بها فقط

3. تفعيل المصادقة والتفويض على جميع نقاط نهاية تنزيل النسخ الاحتياطية

4. مراجعة سجلات الوصول لدليل /database_backup/ للبحث عن علامات الاستغلال



التصحيح:

1. ترقية ASTPP إلى الإصدار 4.0.2 أو أحدث على الفور

2. تطبيق تصحيحات الأمان من المورد والتحقق من فرض عناصر التحكم في وصول ملفات النسخ الاحتياطية

3. إعادة إنشاء جميع بيانات اعتماد قاعدة البيانات ومفاتيح التشفير بعد التصحيح



عناصر التحكم البديلة:

1. تطبيق قواعد جدار حماية تطبيقات الويب (WAF) لحظر وصول دليل /database_backup/

2. نقل ملفات النسخ الاحتياطية إلى موقع غير قابل للوصول عبر الويب

3. تطبيق تحديد معدل على نقاط نهاية تنزيل النسخ الاحتياطية

4. تفعيل المصادقة متعددة العوامل للوصول الإداري

5. تشفير جميع النسخ الاحتياطية لقاعدة البيانات أثناء الراحة والنقل



الكشف:

1. مراقبة طلبات HTTP إلى /database_backup/ بمعاملات متسلسلة أو قائمة على الأنماط

2. تنبيه محاولات المصادقة الفاشلة المتعددة لنقاط نهاية النسخ الاحتياطية

3. تتبع أنماط استخراج البيانات غير العادية من خوادم قاعدة البيانات

4. تطبيق توقيعات IDS/IPS لمحاولات تعداد النسخ الاحتياطية ASTPP
📋 خريطة الامتثال التنظيمي
🟢 NCA ECC 2024
5.1.1 - Access Control and Authentication 5.2.1 - Information Security Policies 5.3.1 - Data Protection and Privacy 5.4.1 - Incident Management 5.5.1 - Backup and Recovery
🔵 SAMA CSF
Governance - Information Security Governance Protect - Access Control Protect - Data Protection Detect - Monitoring and Logging Respond - Incident Response
🟡 ISO 27001:2022
A.5.1 - Policies for information security A.6.1 - Internal organization A.8.1 - Asset management A.9.1 - Access control A.10.1 - Cryptography A.12.3 - Segregation of networks A.13.1 - Network security
🟣 PCI DSS v4.0.1
Requirement 1 - Firewall configuration Requirement 2 - Default passwords Requirement 6 - Secure development Requirement 7 - Access control Requirement 10 - Logging and monitoring
📦 المنتجات المتأثرة 1 منتج
inextrix:astpp:4.0.1
📊 CVSS Score
7.5
/ 10.0 — مرتفع
📊 CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N
Attack VectorN — None / Network
Attack ComplexityL — Low / Local
Privileges RequiredN — None / Network
User InteractionN — None / Network
ScopeU — Unchanged
ConfidentialityH — High
IntegrityN — None / Network
AvailabilityN — None / Network
📋 حقائق سريعة
الخطورة مرتفع
CVSS Score7.5
CWECWE-538
EPSS0.15%
اختراق متاح ✓ نعم
تصحيح متاح ✓ نعم
تاريخ النشر 2026-02-11
المصدر nvd
المشاهدات 6
🇸🇦 درجة المخاطر السعودية
8.2
/ 10.0 — مخاطر السعودية
أولوية: CRITICAL
🏷️ الوسوم
exploit-available CWE-538
⚡ إجراءات
🔗 NVD Official Page ⚡ Exploit-DB Search 🐙 GitHub PoC Search 🎯 MITRE ATT&CK 📊 CVE Details
مشاركة ثغرة
LinkedIn X / Twitter WhatsApp Telegram

💬 التعليقات

0
جارٍ التحميل
📣 وجدت هذا مفيداً؟
شاركه مع شبكة الأمن السيبراني الخاصة بك
in لينكدإن 𝕏 تويتر 💬 واتساب ✈ تليجرام
🍪 إعدادات الخصوصية
سيزو للاستشارات — متوافق مع نظام حماية البيانات الشخصية السعودي (PDPL)
نستخدم ملفات تعريف الارتباط والتقنيات المشابهة لتوفير أفضل تجربة على منصتنا. يمكنك اختيار الأنواع التي تقبلها.
🔒
ملفات ضرورية Always On
مطلوبة لعمل الموقع بشكل صحيح. لا يمكن تعطيلها.
📋 الجلسات، CSRF، المصادقة، تفضيلات اللغة
📊
ملفات التحليلات
تساعدنا في فهم كيفية استخدام الزوار للموقع وتحسين الأداء.
📋 إحصائيات الصفحات، مدة الجلسة، مصدر الزيارة
⚙️
ملفات وظيفية
تتيح ميزات محسنة مثل تخصيص المحتوى والتفضيلات.
📋 السمة المظلمة/الفاتحة، حجم الخط، لوحات التحكم المخصصة
📣
ملفات تسويقية
تُستخدم لتقديم محتوى وإعلانات ذات صلة باهتماماتك.
📋 تتبع الحملات، إعادة الاستهداف، تحليلات وسائل التواصل
سياسة الخصوصية →
مساعد CISO الذكي
اسألني أي شيء · وثائق · دعم
🔐

عرّفنا بنفسك

أدخل بياناتك للوصول إلى المساعد الكامل

معلوماتك آمنة ولن تُشارك
💬
المساعد السيبراني
متصل — يرد في ثوانٍ
5 / 5
🔐 تحقق من هويتك

أدخل بريدك الإلكتروني لإرسال رمز تحقق قبل إرسال طلب الدعم.

Enter للإرسال · / للأوامر 0 / 2000
CISO AI · مدعوم بالذكاء الاصطناعي
✦ استطلاع سريع ساعدنا في تحسين منصة سيزو للاستشارات ملاحظاتك تشكّل مستقبل منصتنا — لا تستغرق سوى دقيقتين.
⚠ يرجى الإجابة على هذا السؤال للمتابعة

كيف تقيّم تجربتك العامة مع منصتنا؟

قيّم من 1 (ضعيف) إلى 5 (ممتاز)

🎉
شكراً جزيلاً!
تم تسجيل إجابتك بنجاح.