📧 info@ciso.sa | 📱 +966550939344 | الرياض، المملكة العربية السعودية
عن المنصة الأسئلة الشائعة اتصل بنا شروط الخدمة سياسة الخصوصية 🌐 English
🔐

مرحباً — سجّل دخولك أو أنشئ حساباً للوصول الكامل.

🔑 دخول ✨ حساب جديد
🌐 EN تسجيل الدخول إنشاء حساب
🔧 صيانة مجدولة — السبت 2:00-4:00 صباحاً. قد تكون بعض الميزات غير متاحة مؤقتاً.    ●   
💎
خطة Pro بخصم 50% احصل على جميع ميزات AI والتقارير غير المحدودة والدعم ذي الأولوية. الترقية الآن
مركز البحث
ESC للإغلاق
تنقل فتح Ctrl+K بحث
CISO Consulting
Global supply_chain تطوير البرمجيات والتكنولوجيا HIGH 17m Global apt الحكومة والبنية التحتية الحرجة CRITICAL 2h Global vulnerability برامج المؤسسات / تحليل البيانات CRITICAL 2h Global vulnerability الذكاء الاصطناعي والتكنولوجيا HIGH 6h Global general قطاع التكنولوجيا والذكاء الاصطناعي MEDIUM 9h Global general قطاع التكنولوجيا والذكاء الاصطناعي HIGH 10h Global vulnerability التعليم العالي CRITICAL 19h Global data_breach القطاع الحكومي HIGH 20h Global supply_chain تطوير البرمجيات والمجتمعات مفتوحة المصدر CRITICAL 20h Global malware تطوير البرمجيات CRITICAL 20h Global supply_chain تطوير البرمجيات والتكنولوجيا HIGH 17m Global apt الحكومة والبنية التحتية الحرجة CRITICAL 2h Global vulnerability برامج المؤسسات / تحليل البيانات CRITICAL 2h Global vulnerability الذكاء الاصطناعي والتكنولوجيا HIGH 6h Global general قطاع التكنولوجيا والذكاء الاصطناعي MEDIUM 9h Global general قطاع التكنولوجيا والذكاء الاصطناعي HIGH 10h Global vulnerability التعليم العالي CRITICAL 19h Global data_breach القطاع الحكومي HIGH 20h Global supply_chain تطوير البرمجيات والمجتمعات مفتوحة المصدر CRITICAL 20h Global malware تطوير البرمجيات CRITICAL 20h Global supply_chain تطوير البرمجيات والتكنولوجيا HIGH 17m Global apt الحكومة والبنية التحتية الحرجة CRITICAL 2h Global vulnerability برامج المؤسسات / تحليل البيانات CRITICAL 2h Global vulnerability الذكاء الاصطناعي والتكنولوجيا HIGH 6h Global general قطاع التكنولوجيا والذكاء الاصطناعي MEDIUM 9h Global general قطاع التكنولوجيا والذكاء الاصطناعي HIGH 10h Global vulnerability التعليم العالي CRITICAL 19h Global data_breach القطاع الحكومي HIGH 20h Global supply_chain تطوير البرمجيات والمجتمعات مفتوحة المصدر CRITICAL 20h Global malware تطوير البرمجيات CRITICAL 20h
الثغرات

CVE-2020-37194

مرتفع
Backup Key Recovery 2.2.5 contains a denial of service vulnerability that allows attackers to crash the application by supplying an overly long registration key. Attackers can generate a 1000-characte
CWE-120 — نوع الضعف
نُشر: Feb 11, 2026  ·  آخر تحديث: Feb 28, 2026  ·  المصدر: NVD
CVSS v3
7.5
🔗 NVD الرسمي
📄 الوصف (الإنجليزية)

Backup Key Recovery 2.2.5 contains a denial of service vulnerability that allows attackers to crash the application by supplying an overly long registration key. Attackers can generate a 1000-character payload file and paste it into the registration key field to trigger an application crash.

🤖 ملخص AI

CVE-2020-37194 is a denial of service vulnerability in Backup Key Recovery 2.2.5 that allows attackers to crash the application through buffer overflow by submitting an excessively long registration key (1000+ characters). While no public exploit exists, the vulnerability is trivial to reproduce and could disrupt backup recovery operations in affected organizations. A patch is available and should be applied immediately to prevent service disruption.

📄 الوصف (العربية)

🤖 التحليل الذكي آخر تحليل: Apr 30, 2026 17:10
🇸🇦 التأثير على المملكة العربية السعودية
This vulnerability primarily impacts Saudi organizations relying on Backup Key Recovery 2.2.5 for data protection and disaster recovery operations. Most at-risk sectors include: Banking and Financial Services (SAMA-regulated entities managing critical backup infrastructure), Government agencies (NCA oversight), Healthcare institutions (SEHA and private hospitals managing patient data backups), Energy sector (ARAMCO and downstream operators), and Telecommunications (STC, Mobily backup systems). A successful DoS attack could prevent legitimate backup recovery during critical incidents, potentially violating SAMA CSF and NCA ECC compliance requirements for business continuity.
🏢 القطاعات السعودية المتأثرة
Banking and Financial Services Government and Public Administration Healthcare Energy and Utilities Telecommunications Data Centers and Cloud Services
⚖️ درجة المخاطر السعودية (AI)
6.8
/ 10.0
🔧 Remediation Steps (English)
IMMEDIATE ACTIONS:

1. Identify all systems running Backup Key Recovery version 2.2.5 across your organization

2. Restrict access to the application's registration key input field to authorized personnel only

3. Implement network-level input validation to reject registration key submissions exceeding 256 characters

4. Monitor application logs for repeated failed registration attempts or application crashes



PATCHING:

1. Download and deploy the latest patched version of Backup Key Recovery from the vendor

2. Test the patch in a non-production environment before production deployment

3. Schedule patching during maintenance windows to minimize business impact

4. Verify patch installation by confirming version number and testing with oversized input



COMPENSATING CONTROLS (if patching delayed):

1. Implement Web Application Firewall (WAF) rules to block requests with registration keys >256 characters

2. Deploy rate limiting on registration key submission endpoints

3. Maintain offline backup recovery procedures as failover mechanism

4. Increase monitoring and alerting for application crashes



DETECTION:

1. Monitor for HTTP/application requests with registration key parameters exceeding 512 characters

2. Alert on Backup Key Recovery application crashes or unexpected terminations

3. Log all registration key submission attempts with source IP and timestamp

4. Implement SIEM rules: (process_name:"BackupKeyRecovery*" AND event_type:crash) OR (input_field:registration_key AND length>256)
🔧 خطوات المعالجة (العربية)
الإجراءات الفورية:

1. تحديد جميع الأنظمة التي تعمل بـ Backup Key Recovery الإصدار 2.2.5 في المؤسسة

2. تقييد الوصول إلى حقل مفتاح التسجيل للموظفين المصرح لهم فقط

3. تطبيق التحقق من صحة الإدخال على مستوى الشبكة لرفض مفاتيح التسجيل التي تتجاوز 256 حرفاً

4. مراقبة سجلات التطبيق لمحاولات التسجيل الفاشلة المتكررة أو أعطال التطبيق



التصحيح:

1. تحميل ونشر أحدث إصدار معدل من Backup Key Recovery من المورد

2. اختبار التصحيح في بيئة غير الإنتاج قبل نشره في الإنتاج

3. جدولة التصحيح خلال نوافذ الصيانة لتقليل تأثير الأعمال

4. التحقق من تثبيت التصحيح بتأكيد رقم الإصدار واختبار الإدخال الكبير



الضوابط البديلة (إذا تأخر التصحيح):

1. تطبيق قواعد جدار حماية تطبيقات الويب لحجب الطلبات بمفاتيح تسجيل >256 حرفاً

2. نشر تحديد معدل على نقاط نهاية تقديم مفتاح التسجيل

3. الحفاظ على إجراءات استرجاع النسخ الاحتياطية غير المتصلة كآلية بديلة

4. زيادة المراقبة والتنبيهات لأعطال التطبيق



الكشف:

1. مراقبة طلبات HTTP/التطبيق بمعاملات مفتاح التسجيل التي تتجاوز 512 حرفاً

2. التنبيه على أعطال Backup Key Recovery أو الإنهاء غير المتوقع

3. تسجيل جميع محاولات تقديم مفتاح التسجيل مع عنوان IP المصدر والطابع الزمني

4. تطبيق قواعد SIEM: (process_name:"BackupKeyRecovery*" AND event_type:crash) OR (input_field:registration_key AND length>256)
📋 خريطة الامتثال التنظيمي
🟢 NCA ECC 2024
ECC 2024 A.5.1.1 - Access Control Policies (restricting registration key input) ECC 2024 A.8.2.1 - User Endpoint Protection (application stability) ECC 2024 A.12.6.1 - Management of Technical Vulnerabilities (patching requirement)
🔵 SAMA CSF
SAMA CSF ID.BE-3 - Business Continuity (backup recovery availability) SAMA CSF PR.IP-12 - Information and Communication Technology (system patching) SAMA CSF DE.CM-1 - Detection Processes (monitoring for DoS indicators)
🟡 ISO 27001:2022
ISO 27001:2022 A.12.6.1 - Management of technical vulnerabilities and exposures ISO 27001:2022 A.14.2.1 - Information security requirements analysis ISO 27001:2022 A.17.1.1 - Planning information security incident management
🟣 PCI DSS v4.0.1
PCI DSS 6.2 - Ensure security patches are installed within defined timeframe PCI DSS 11.2 - Run automated vulnerability scans regularly
📊 CVSS Score
7.5
/ 10.0 — مرتفع
📊 CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H
Attack VectorN — None / Network
Attack ComplexityL — Low / Local
Privileges RequiredN — None / Network
User InteractionN — None / Network
ScopeU — Unchanged
ConfidentialityN — None / Network
IntegrityN — None / Network
AvailabilityH — High
📋 حقائق سريعة
الخطورة مرتفع
CVSS Score7.5
CWECWE-120
EPSS0.04%
اختراق متاح لا
تصحيح متاح ✓ نعم
تاريخ النشر 2026-02-11
المصدر nvd
المشاهدات 6
🇸🇦 درجة المخاطر السعودية
6.8
/ 10.0 — مخاطر السعودية
أولوية: HIGH
🏷️ الوسوم
CWE-120
⚡ إجراءات
🔗 NVD Official Page ⚡ Exploit-DB Search 🐙 GitHub PoC Search 🎯 MITRE ATT&CK 📊 CVE Details
مشاركة ثغرة
LinkedIn X / Twitter WhatsApp Telegram

💬 التعليقات

0
جارٍ التحميل
📣 وجدت هذا مفيداً؟
شاركه مع شبكة الأمن السيبراني الخاصة بك
in لينكدإن 𝕏 تويتر 💬 واتساب ✈ تليجرام
🍪 إعدادات الخصوصية
سيزو للاستشارات — متوافق مع نظام حماية البيانات الشخصية السعودي (PDPL)
نستخدم ملفات تعريف الارتباط والتقنيات المشابهة لتوفير أفضل تجربة على منصتنا. يمكنك اختيار الأنواع التي تقبلها.
🔒
ملفات ضرورية Always On
مطلوبة لعمل الموقع بشكل صحيح. لا يمكن تعطيلها.
📋 الجلسات، CSRF، المصادقة، تفضيلات اللغة
📊
ملفات التحليلات
تساعدنا في فهم كيفية استخدام الزوار للموقع وتحسين الأداء.
📋 إحصائيات الصفحات، مدة الجلسة، مصدر الزيارة
⚙️
ملفات وظيفية
تتيح ميزات محسنة مثل تخصيص المحتوى والتفضيلات.
📋 السمة المظلمة/الفاتحة، حجم الخط، لوحات التحكم المخصصة
📣
ملفات تسويقية
تُستخدم لتقديم محتوى وإعلانات ذات صلة باهتماماتك.
📋 تتبع الحملات، إعادة الاستهداف، تحليلات وسائل التواصل
سياسة الخصوصية →
مساعد CISO الذكي
اسألني أي شيء · وثائق · دعم
🔐

عرّفنا بنفسك

أدخل بياناتك للوصول إلى المساعد الكامل

معلوماتك آمنة ولن تُشارك
💬
المساعد السيبراني
متصل — يرد في ثوانٍ
5 / 5
🔐 تحقق من هويتك

أدخل بريدك الإلكتروني لإرسال رمز تحقق قبل إرسال طلب الدعم.

Enter للإرسال · / للأوامر 0 / 2000
CISO AI · مدعوم بالذكاء الاصطناعي
✦ استطلاع سريع ساعدنا في تحسين منصة سيزو للاستشارات ملاحظاتك تشكّل مستقبل منصتنا — لا تستغرق سوى دقيقتين.
⚠ يرجى الإجابة على هذا السؤال للمتابعة

كيف تقيّم تجربتك العامة مع منصتنا؟

قيّم من 1 (ضعيف) إلى 5 (ممتاز)

🎉
شكراً جزيلاً!
تم تسجيل إجابتك بنجاح.