الثغرات ›

CVE-2020-37193

مرتفع

CWE-120 — نوع الضعف

                    نُشر: Feb 11, 2026                      ·  آخر تحديث: Feb 28, 2026                      ·  المصدر: NVD                

CVSS v3

7.5

🔗 NVD الرسمي

📄 الوصف (الإنجليزية)

ZIP Password Recovery 2.30 contains a denial of service vulnerability that allows attackers to crash the application by providing maliciously crafted input. Attackers can create a specially prepared text file with specific characters to trigger an application crash when selecting a ZIP file.

🤖 ملخص AI

ZIP Password Recovery 2.30 contains a denial of service vulnerability (CVE-2020-37193) with CVSS 7.5 that allows attackers to crash the application through maliciously crafted input files. While no public exploit is available, the vulnerability poses a moderate risk to organizations using this utility for data recovery operations. A patch is available and should be applied promptly to prevent service disruption.

📄 الوصف (العربية)

🤖 التحليل الذكي آخر تحليل: Apr 30, 2026 19:36

🇸🇦 التأثير على المملكة العربية السعودية

This vulnerability primarily affects Saudi organizations in the following sectors: (1) Government agencies and NCA utilizing data recovery tools for forensic investigations and archival management; (2) Banking and financial institutions (SAMA-regulated) using ZIP utilities for secure data backup and recovery; (3) Healthcare organizations managing encrypted patient records; (4) Energy sector (ARAMCO and related entities) managing critical infrastructure documentation. The DoS impact could disrupt business continuity for organizations dependent on this utility for regular data recovery operations.

🏢 القطاعات السعودية المتأثرة

Government Banking and Financial Services Healthcare Energy and Utilities Telecommunications Data Recovery Services

🎯 تقنيات MITRE ATT&CK

T1499 - Endpoint Denial of Service T1561 - Disk Wipe T1565 - Data Manipulation

⚖️ درجة المخاطر السعودية (AI)

5.8

/ 10.0

🔧 Remediation Steps (English)

Immediate Actions:

1. Identify all systems running ZIP Password Recovery 2.30 across the organization

2. Restrict user access to the application until patching is complete

3. Implement input validation controls to reject suspicious file formats



Patching Guidance:

1. Download the latest patched version from the official vendor

2. Test the patch in a non-production environment first

3. Deploy patches to all affected systems within 72 hours

4. Verify successful installation and functionality post-patch



Compensating Controls:

1. Implement application whitelisting to control which versions can execute

2. Monitor for application crashes and unexpected terminations

3. Restrict file upload capabilities to trusted sources only

4. Use alternative ZIP recovery tools from reputable vendors as backup



Detection Rules:

1. Monitor for ZIP Password Recovery process crashes or abnormal terminations

2. Alert on attempts to open malformed ZIP or text files with suspicious character sequences

3. Log all file access attempts to the application

4. Implement endpoint detection and response (EDR) rules for application DoS patterns

🔧 خطوات المعالجة (العربية)

الإجراءات الفورية:

1. تحديد جميع الأنظمة التي تقوم بتشغيل ZIP Password Recovery 2.30 في المنظمة

2. تقييد وصول المستخدمين إلى التطبيق حتى اكتمال التصحيح

3. تنفيذ عناصر التحكم في التحقق من المدخلات لرفض تنسيقات الملفات المريبة

إرشادات التصحيح:

1. تحميل أحدث إصدار معدل من البائع الرسمي

2. اختبار التصحيح في بيئة غير إنتاجية أولاً

3. نشر التصحيحات على جميع الأنظمة المتأثرة خلال 72 ساعة

4. التحقق من التثبيت الناجح والوظائف بعد التصحيح

عناصر التحكم البديلة:

1. تنفيذ قائمة بيضاء للتطبيقات للتحكم في الإصدارات التي يمكن تنفيذها

2. مراقبة أعطال التطبيق والإنهاءات غير المتوقعة

3. تقييد قدرات تحميل الملفات إلى مصادر موثوقة فقط

4. استخدام أدوات استرجاع ZIP بديلة من بائعين حسن السمعة كنسخة احتياطية

قواعد الكشف:

1. مراقبة أعطال عملية ZIP Password Recovery والإنهاءات غير الطبيعية

2. التنبيه على محاولات فتح ملفات ZIP أو نصية مشوهة بتسلسلات أحرف مريبة

3. تسجيل جميع محاولات الوصول إلى الملفات للتطبيق

4. تنفيذ قواعد الكشف والاستجابة على مستوى النقطة (EDR) لأنماط DoS للتطبيق

📋 خريطة الامتثال التنظيمي

🟢 NCA ECC 2024

A.12.6.1 - Management of technical vulnerabilities A.14.2.1 - Secure development policy A.12.2.1 - Monitoring of system use

🔵 SAMA CSF

ID.RA-1 - Asset management and criticality assessment PR.IP-12 - Software development and quality assurance DE.CM-1 - Detection and analysis of anomalies

🟡 ISO 27001:2022

A.12.6.1 - Management of technical vulnerabilities A.14.2.5 - Secure development environment A.12.4.1 - Event logging

🔗 المراجع والمصادر 3

🔗

https://www.exploit-db.com/exploits/47894

disclosure@vulncheck.com

🔗

https://www.top-password.com/purchase.html

disclosure@vulncheck.com

🔗

https://www.vulncheck.com/advisories/zip-password-recovery-zip-file-denial-of-service

disclosure@vulncheck.com

📊 CVSS Score

7.5

/ 10.0 — مرتفع

📊 CVSS Vector

CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N

Attack VectorN — None / Network

Attack ComplexityL — Low / Local

Privileges RequiredN — None / Network

User InteractionN — None / Network

ScopeU — Unchanged

ConfidentialityH — High

IntegrityN — None / Network

AvailabilityN — None / Network

📋 حقائق سريعة

الخطورة مرتفع

CVSS Score7.5

CWECWE-120

EPSS0.03%

اختراق متاح لا

تصحيح متاح ✓ نعم

تاريخ النشر 2026-02-11

المصدر nvd

المشاهدات 6

🇸🇦 درجة المخاطر السعودية

5.8

/ 10.0 — مخاطر السعودية

أولوية: HIGH

🏷️ الوسوم

CWE-120

⚡ إجراءات

🔗 NVD Official Page ⚡ Exploit-DB Search 🐙 GitHub PoC Search 🎯 MITRE ATT&CK 📊 CVE Details

💬 التعليقات

جارٍ التحميل

CVE-2020-37193

💬 التعليقات

عرّفنا بنفسك

تسجيل الدخول مطلوب