الثغرات ›

CVE-2020-37212

مرتفع ⚡ اختراق متاح

SpotMSN 2.4.6 contains a denial of service vulnerability in the registration name input field that allows attackers to crash the application. Attackers can generate a 1000-character payload and paste

CWE-120 — نوع الضعف

                    نُشر: Feb 11, 2026                      ·  آخر تحديث: Feb 28, 2026                      ·  المصدر: NVD                

CVSS v3

7.5

🔗 NVD الرسمي

📄 الوصف (الإنجليزية)

SpotMSN 2.4.6 contains a denial of service vulnerability in the registration name input field that allows attackers to crash the application. Attackers can generate a 1000-character payload and paste it into the 'Name' field to trigger an application crash.

🤖 ملخص AI

SpotMSN 2.4.6 contains a buffer overflow vulnerability (CWE-120) in the registration name input field that allows unauthenticated attackers to crash the application by submitting oversized payloads. With a CVSS score of 7.5 and publicly available exploits, this poses an immediate denial of service risk to organizations using this legacy communication software. Patching is available and should be deployed urgently.

📄 الوصف (العربية)

🤖 التحليل الذكي آخر تحليل: May 1, 2026 06:36

🇸🇦 التأثير على المملكة العربية السعودية

This vulnerability primarily affects Saudi organizations using legacy SpotMSN instances for internal communications, particularly in government agencies, educational institutions, and smaller enterprises that may still rely on older messaging platforms. The denial of service impact could disrupt critical communications infrastructure. Government entities under NCA oversight and organizations subject to SAMA regulations face compliance risks if communication systems become unavailable. The vulnerability is especially concerning for organizations that have not migrated to modern unified communications platforms.

🏢 القطاعات السعودية المتأثرة

Government Education Healthcare Telecommunications Financial Services Energy

🎯 تقنيات MITRE ATT&CK

T1499 - Endpoint Denial of Service T1499.004 - Application Exhaustion Flood T1190 - Exploit Public-Facing Application

⚖️ درجة المخاطر السعودية (AI)

7.2

/ 10.0

🔧 Remediation Steps (English)

1. IMMEDIATE ACTIONS:

   - Identify all SpotMSN 2.4.6 installations across your organization using network scanning tools

   - Restrict network access to SpotMSN registration endpoints using firewall rules

   - Disable public-facing SpotMSN registration if not operationally required

   - Implement input validation at network perimeter to block payloads exceeding 256 characters in registration fields



2. PATCHING GUIDANCE:

   - Upgrade SpotMSN to version 2.4.7 or later immediately

   - Test patches in isolated environment before production deployment

   - Prioritize patching for internet-facing or multi-user instances



3. COMPENSATING CONTROLS (if patching delayed):

   - Deploy Web Application Firewall (WAF) rules to detect and block oversized registration payloads

   - Implement rate limiting on registration endpoints (max 5 requests per minute per IP)

   - Monitor application logs for registration attempts with payloads >500 characters



4. DETECTION RULES:

   - Alert on HTTP POST requests to /register or /signup endpoints with payload size >1000 bytes

   - Monitor SpotMSN process crashes and correlate with registration activity

   - Log all registration attempts with character count >256 in name field

🔧 خطوات المعالجة (العربية)

1. الإجراءات الفورية:

   - تحديد جميع تثبيتات SpotMSN 2.4.6 عبر المنظمة باستخدام أدوات المسح

   - تقييد الوصول إلى نقاط نهاية التسجيل باستخدام قواعد جدار الحماية

   - تعطيل التسجيل العام إذا لم يكن مطلوباً تشغيلياً

   - تطبيق التحقق من صحة المدخلات لحظر الحمولات التي تتجاوز 256 حرفاً



2. إرشادات التصحيح:

   - ترقية SpotMSN إلى الإصدار 2.4.7 أو أحدث فوراً

   - اختبار التصحيحات في بيئة معزولة قبل النشر

   - إعطاء الأولوية للنسخ المتصلة بالإنترنت



3. الضوابط البديلة:

   - نشر قواعد جدار تطبيقات الويب لكشف الحمولات الكبيرة

   - تطبيق تحديد معدل الطلبات (5 طلبات كحد أقصى في الدقيقة)

   - مراقبة سجلات التطبيق للحمولات >500 بايت



4. قواعد الكشف:

   - تنبيهات على طلبات POST بحمولة >1000 بايت

   - مراقبة أعطال عملية SpotMSN

   - تسجيل محاولات التسجيل بأكثر من 256 حرفاً

📋 خريطة الامتثال التنظيمي

🟢 NCA ECC 2024

ECC 2024 A.12.6.1 - Management of technical vulnerabilities ECC 2024 A.12.2.1 - Change management procedures ECC 2024 A.14.2.1 - Secure development policy

🔵 SAMA CSF

SAMA CSF ID.BE-5 - Organizational resilience SAMA CSF PR.IP-12 - Information and output handling SAMA CSF DE.CM-1 - Detection processes and tools

🟡 ISO 27001:2022

ISO 27001:2022 A.12.6.1 - Management of technical vulnerabilities ISO 27001:2022 A.14.2.1 - Secure development, test and acceptance ISO 27001:2022 A.12.2.1 - Change management

🔗 المراجع والمصادر 3

🔗

http://www.nsauditor.com/

disclosure@vulncheck.com

Product

🔗

https://www.exploit-db.com/exploits/47869

disclosure@vulncheck.com

Exploit VDB Entry

🔗

https://www.vulncheck.com/advisories/spotmsn-name-denial-of-service

disclosure@vulncheck.com

Third Party Advisory

📦 المنتجات المتأثرة 1 منتج

nsasoft:spotmsn

📊 CVSS Score

7.5

/ 10.0 — مرتفع

📊 CVSS Vector

CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H

Attack VectorN — None / Network

Attack ComplexityL — Low / Local

Privileges RequiredN — None / Network

User InteractionN — None / Network

ScopeU — Unchanged

ConfidentialityN — None / Network

IntegrityN — None / Network

AvailabilityH — High

📋 حقائق سريعة

الخطورة مرتفع

CVSS Score7.5

CWECWE-120

EPSS0.03%

اختراق متاح ✓ نعم

تصحيح متاح ✓ نعم

تاريخ النشر 2026-02-11

المصدر nvd

المشاهدات 6

🇸🇦 درجة المخاطر السعودية

7.2

/ 10.0 — مخاطر السعودية

أولوية: HIGH

🏷️ الوسوم

exploit-available CWE-120

⚡ إجراءات

🔗 NVD Official Page ⚡ Exploit-DB Search 🐙 GitHub PoC Search 🎯 MITRE ATT&CK 📊 CVE Details

💬 التعليقات

جارٍ التحميل

CVE-2020-37212

💬 التعليقات

عرّفنا بنفسك

تسجيل الدخول مطلوب