📧 info@ciso.sa | 📱 +966550939344 | الرياض، المملكة العربية السعودية
عن المنصة الأسئلة الشائعة اتصل بنا شروط الخدمة سياسة الخصوصية 🌐 English
🔐

مرحباً — سجّل دخولك أو أنشئ حساباً للوصول الكامل.

🔑 دخول ✨ حساب جديد
🌐 EN تسجيل الدخول إنشاء حساب
🔧 صيانة مجدولة — السبت 2:00-4:00 صباحاً. قد تكون بعض الميزات غير متاحة مؤقتاً.    ●   
💎
خطة Pro بخصم 50% احصل على جميع ميزات AI والتقارير غير المحدودة والدعم ذي الأولوية. الترقية الآن
مركز البحث
ESC للإغلاق
تنقل فتح Ctrl+K بحث
CISO Consulting
Global phishing عبر القطاعات HIGH 2h Global apt التعليم CRITICAL 2h Global vulnerability برامج المؤسسات / أنظمة تخطيط موارد المؤسسات CRITICAL 2h Global vulnerability البنية التحتية لتكنولوجيا المعلومات CRITICAL 3h Global vulnerability قطاع التكنولوجيا وتطوير البرمجيات HIGH 4h Global vulnerability قطاع تكنولوجيا المعلومات والحكومة CRITICAL 4h Global ransomware قطاعات متعددة / المؤسسات CRITICAL 5h Global general التكنولوجيا والقطاع القانوني MEDIUM 6h Global ransomware الخدمات المالية / العملات المشفرة CRITICAL 6h Global general أنظمة التحكم الصناعية / تكنولوجيا التشغيل HIGH 7h Global phishing عبر القطاعات HIGH 2h Global apt التعليم CRITICAL 2h Global vulnerability برامج المؤسسات / أنظمة تخطيط موارد المؤسسات CRITICAL 2h Global vulnerability البنية التحتية لتكنولوجيا المعلومات CRITICAL 3h Global vulnerability قطاع التكنولوجيا وتطوير البرمجيات HIGH 4h Global vulnerability قطاع تكنولوجيا المعلومات والحكومة CRITICAL 4h Global ransomware قطاعات متعددة / المؤسسات CRITICAL 5h Global general التكنولوجيا والقطاع القانوني MEDIUM 6h Global ransomware الخدمات المالية / العملات المشفرة CRITICAL 6h Global general أنظمة التحكم الصناعية / تكنولوجيا التشغيل HIGH 7h Global phishing عبر القطاعات HIGH 2h Global apt التعليم CRITICAL 2h Global vulnerability برامج المؤسسات / أنظمة تخطيط موارد المؤسسات CRITICAL 2h Global vulnerability البنية التحتية لتكنولوجيا المعلومات CRITICAL 3h Global vulnerability قطاع التكنولوجيا وتطوير البرمجيات HIGH 4h Global vulnerability قطاع تكنولوجيا المعلومات والحكومة CRITICAL 4h Global ransomware قطاعات متعددة / المؤسسات CRITICAL 5h Global general التكنولوجيا والقطاع القانوني MEDIUM 6h Global ransomware الخدمات المالية / العملات المشفرة CRITICAL 6h Global general أنظمة التحكم الصناعية / تكنولوجيا التشغيل HIGH 7h
الثغرات

CVE-2020-37218

مرتفع
CWE-89 — نوع الضعف
نُشر: May 13, 2026  ·  آخر تحديث: May 20, 2026  ·  المصدر: NVD
CVSS v3
8.2
🔗 NVD الرسمي
📄 الوصف (الإنجليزية)

Joomla com_hdwplayer 4.2 contains an SQL injection vulnerability in the search.php file that allows unauthenticated attackers to execute arbitrary SQL queries by injecting malicious code through the hdwplayersearch parameter. Attackers can submit POST requests with crafted SQL payloads in the hdwplayersearch parameter to extract sensitive database information from the hdwplayer_videos table.

🤖 ملخص AI

CVE-2020-37218 is a critical SQL injection vulnerability in Joomla com_hdwplayer 4.2 that allows unauthenticated attackers to execute arbitrary SQL queries through the hdwplayersearch parameter. The vulnerability enables direct access to sensitive database information, particularly from the hdwplayer_videos table. With no patch available and moderate exploit complexity, organizations using this component face significant data breach risks.

📄 الوصف (العربية)

🤖 التحليل الذكي آخر تحليل: May 20, 2026 03:23
🇸🇦 التأثير على المملكة العربية السعودية
Saudi organizations operating media and content management platforms using Joomla with com_hdwplayer component are at significant risk. Most affected sectors include: (1) Government media agencies and public information departments under NCA oversight, (2) Telecom providers (STC, Mobily, Zain) managing video content platforms, (3) Educational institutions and universities hosting video libraries, (4) Healthcare organizations using Joomla for patient education content, (5) Media and broadcasting companies. The vulnerability allows complete database compromise without authentication, potentially exposing customer data, internal communications, and sensitive operational information.
🏢 القطاعات السعودية المتأثرة
Government and Public Administration Telecommunications Education and Universities Healthcare Media and Broadcasting E-commerce and Retail
⚖️ درجة المخاطر السعودية (AI)
8.5
/ 10.0
🔧 Remediation Steps (English)
IMMEDIATE ACTIONS:

1. Identify all Joomla installations with com_hdwplayer component version 4.2 across your infrastructure

2. Disable or uninstall the com_hdwplayer component immediately if not critical to operations

3. If component is essential, restrict access to search.php through WAF rules blocking POST requests to hdwplayersearch parameter



PATCHING GUIDANCE:

1. Check vendor website for security updates; if unavailable, contact component developer for patch timeline

2. Consider migrating to alternative video player components with active security maintenance

3. Implement input validation and parameterized queries if custom patching is necessary



COMPENSATING CONTROLS:

1. Deploy Web Application Firewall (WAF) rules to block SQL injection patterns in hdwplayersearch parameter

2. Implement database activity monitoring (DAM) to detect anomalous SQL queries

3. Apply principle of least privilege to database user accounts running Joomla

4. Enable database query logging and audit trails

5. Restrict network access to Joomla application to trusted IP ranges



DETECTION RULES:

1. Monitor POST requests containing SQL keywords (UNION, SELECT, DROP, INSERT) in hdwplayersearch parameter

2. Alert on database connections executing queries from search.php with unusual table access patterns

3. Track failed authentication attempts followed by SQL injection attempts

4. Monitor hdwplayer_videos table for unauthorized access or data exfiltration
🔧 خطوات المعالجة (العربية)
الإجراءات الفورية:

1. تحديد جميع تثبيتات Joomla التي تحتوي على مكون com_hdwplayer الإصدار 4.2 عبر البنية التحتية الخاصة بك

2. تعطيل أو إلغاء تثبيت مكون com_hdwplayer فوراً إذا لم يكن حرجاً للعمليات

3. إذا كان المكون ضرورياً، قيّد الوصول إلى search.php من خلال قواعد WAF التي تحظر طلبات POST لمعامل hdwplayersearch



إرشادات التصحيح:

1. تحقق من موقع المورد للحصول على تحديثات الأمان؛ إذا لم تكن متاحة، اتصل بمطور المكون للحصول على جدول زمني للتصحيح

2. فكر في الترحيل إلى مكونات مشغل فيديو بديلة مع صيانة أمان نشطة

3. قم بتنفيذ التحقق من الإدخال والاستعلامات المعاملة إذا لزم الأمر التصحيح المخصص



الضوابط التعويضية:

1. نشر قواعد جدار الحماية (WAF) لحظر أنماط حقن SQL في معامل hdwplayersearch

2. تنفيذ مراقبة نشاط قاعدة البيانات (DAM) للكشف عن استعلامات SQL غير الطبيعية

3. تطبيق مبدأ أقل امتياز على حسابات مستخدمي قاعدة البيانات التي تشغل Joomla

4. تفعيل تسجيل استعلامات قاعدة البيانات ومسارات التدقيق

5. قيّد الوصول إلى شبكة تطبيق Joomla إلى نطاقات IP الموثوقة



قواعد الكشف:

1. مراقبة طلبات POST التي تحتوي على كلمات رئيسية SQL (UNION, SELECT, DROP, INSERT) في معامل hdwplayersearch

2. تنبيه على اتصالات قاعدة البيانات التي تنفذ استعلامات من search.php مع أنماط وصول جدول غير عادية

3. تتبع محاولات المصادقة الفاشلة متبوعة بمحاولات حقن SQL

4. مراقبة جدول hdwplayer_videos للوصول غير المصرح به أو تسرب البيانات
📋 خريطة الامتثال التنظيمي
🟢 NCA ECC 2024
ECC 2024 A.14.2.1 - Secure development policy and procedures ECC 2024 A.14.2.5 - Secure coding practices and code review ECC 2024 A.12.6.1 - Management of technical vulnerabilities ECC 2024 A.12.2.1 - User access management and authentication
🔵 SAMA CSF
SAMA CSF ID.GV-1 - Organizational governance and risk management SAMA CSF PR.AC-1 - Access control and authentication mechanisms SAMA CSF PR.DS-2 - Data security and protection SAMA CSF DE.CM-1 - Detection and monitoring of security events
🟡 ISO 27001:2022
ISO 27001:2022 A.5.23 - Information security for supplier relationships ISO 27001:2022 A.8.1 - User endpoint devices ISO 27001:2022 A.14.2 - Development security ISO 27001:2022 A.12.6 - Management of technical vulnerabilities
🟣 PCI DSS v4.0.1
PCI DSS 6.5.1 - Injection flaws prevention PCI DSS 6.2 - Security patches and updates PCI DSS 10.2 - Logging and monitoring of access
📊 CVSS Score
8.2
/ 10.0 — مرتفع
📊 CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:L/A:N
Attack VectorN — None / Network
Attack ComplexityL — Low / Local
Privileges RequiredN — None / Network
User InteractionN — None / Network
ScopeU — Unchanged
ConfidentialityH — High
IntegrityL — Low / Local
AvailabilityN — None / Network
📋 حقائق سريعة
الخطورة مرتفع
CVSS Score8.2
CWECWE-89
EPSS0.09%
اختراق متاح لا
تصحيح متاح ✗ لا
تاريخ النشر 2026-05-13
المصدر nvd
المشاهدات 1
🇸🇦 درجة المخاطر السعودية
8.5
/ 10.0 — مخاطر السعودية
أولوية: CRITICAL
🏷️ الوسوم
CWE-89
⚡ إجراءات
🔗 NVD Official Page ⚡ Exploit-DB Search 🐙 GitHub PoC Search 🎯 MITRE ATT&CK 📊 CVE Details
مشاركة ثغرة
LinkedIn X / Twitter WhatsApp Telegram
📣 وجدت هذا مفيداً؟
شاركه مع شبكة الأمن السيبراني الخاصة بك
in لينكدإن 𝕏 تويتر 💬 واتساب ✈ تليجرام
🍪 إعدادات الخصوصية
سيزو للاستشارات — متوافق مع نظام حماية البيانات الشخصية السعودي (PDPL)
نستخدم ملفات تعريف الارتباط والتقنيات المشابهة لتوفير أفضل تجربة على منصتنا. يمكنك اختيار الأنواع التي تقبلها.
🔒
ملفات ضرورية Always On
مطلوبة لعمل الموقع بشكل صحيح. لا يمكن تعطيلها.
📋 الجلسات، CSRF، المصادقة، تفضيلات اللغة
📊
ملفات التحليلات
تساعدنا في فهم كيفية استخدام الزوار للموقع وتحسين الأداء.
📋 إحصائيات الصفحات، مدة الجلسة، مصدر الزيارة
⚙️
ملفات وظيفية
تتيح ميزات محسنة مثل تخصيص المحتوى والتفضيلات.
📋 السمة المظلمة/الفاتحة، حجم الخط، لوحات التحكم المخصصة
📣
ملفات تسويقية
تُستخدم لتقديم محتوى وإعلانات ذات صلة باهتماماتك.
📋 تتبع الحملات، إعادة الاستهداف، تحليلات وسائل التواصل
سياسة الخصوصية →
مساعد CISO الذكي
اسألني أي شيء · وثائق · دعم
🔐

عرّفنا بنفسك

أدخل بياناتك للوصول إلى المساعد الكامل

معلوماتك آمنة ولن تُشارك
💬
المساعد السيبراني
متصل — يرد في ثوانٍ
5 / 5
🔐 تحقق من هويتك

أدخل بريدك الإلكتروني لإرسال رمز تحقق قبل إرسال طلب الدعم.

Enter للإرسال · / للأوامر 0 / 2000
CISO AI · مدعوم بالذكاء الاصطناعي
✦ استطلاع سريع ساعدنا في تحسين منصة سيزو للاستشارات ملاحظاتك تشكّل مستقبل منصتنا — لا تستغرق سوى دقيقتين.
⚠ يرجى الإجابة على هذا السؤال للمتابعة

كيف تقيّم تجربتك العامة مع منصتنا؟

قيّم من 1 (ضعيف) إلى 5 (ممتاز)

🎉
شكراً جزيلاً!
تم تسجيل إجابتك بنجاح.