📧 info@ciso.sa | 📱 +966550939344 | الرياض، المملكة العربية السعودية
عن المنصة الأسئلة الشائعة اتصل بنا شروط الخدمة سياسة الخصوصية 🌐 English
🔐

مرحباً — سجّل دخولك أو أنشئ حساباً للوصول الكامل.

🔑 دخول ✨ حساب جديد
🌐 EN تسجيل الدخول إنشاء حساب
🔧 صيانة مجدولة — السبت 2:00-4:00 صباحاً. قد تكون بعض الميزات غير متاحة مؤقتاً.    ●   
💎
خطة Pro بخصم 50% احصل على جميع ميزات AI والتقارير غير المحدودة والدعم ذي الأولوية. الترقية الآن
مركز البحث
ESC للإغلاق
تنقل فتح Ctrl+K بحث
CISO Consulting
Global vulnerability تكنولوجيا المعلومات HIGH 1h Global data_breach قطاع المياه والبنية التحتية الحساسة HIGH 2h Global general خدمات الأمن السيبراني HIGH 2h Global data_breach الصيدلة والأدوية HIGH 3h Global vulnerability التكنولوجيا والذكاء الاصطناعي CRITICAL 3h Global vulnerability تكنولوجيا المعلومات CRITICAL 3h Global phishing قطاع الألعاب والترفيه HIGH 4h Global vulnerability تكنولوجيا المعلومات CRITICAL 4h Global phishing إنفاذ القانون والجرائم السيبرانية HIGH 4h Global vulnerability الذكاء الاصطناعي MEDIUM 4h Global vulnerability تكنولوجيا المعلومات HIGH 1h Global data_breach قطاع المياه والبنية التحتية الحساسة HIGH 2h Global general خدمات الأمن السيبراني HIGH 2h Global data_breach الصيدلة والأدوية HIGH 3h Global vulnerability التكنولوجيا والذكاء الاصطناعي CRITICAL 3h Global vulnerability تكنولوجيا المعلومات CRITICAL 3h Global phishing قطاع الألعاب والترفيه HIGH 4h Global vulnerability تكنولوجيا المعلومات CRITICAL 4h Global phishing إنفاذ القانون والجرائم السيبرانية HIGH 4h Global vulnerability الذكاء الاصطناعي MEDIUM 4h Global vulnerability تكنولوجيا المعلومات HIGH 1h Global data_breach قطاع المياه والبنية التحتية الحساسة HIGH 2h Global general خدمات الأمن السيبراني HIGH 2h Global data_breach الصيدلة والأدوية HIGH 3h Global vulnerability التكنولوجيا والذكاء الاصطناعي CRITICAL 3h Global vulnerability تكنولوجيا المعلومات CRITICAL 3h Global phishing قطاع الألعاب والترفيه HIGH 4h Global vulnerability تكنولوجيا المعلومات CRITICAL 4h Global phishing إنفاذ القانون والجرائم السيبرانية HIGH 4h Global vulnerability الذكاء الاصطناعي MEDIUM 4h
الثغرات

CVE-2021-47925

متوسط
CWE-79 — نوع الضعف
نُشر: May 10, 2026  ·  آخر تحديث: May 13, 2026  ·  المصدر: NVD
CVSS v3
6.4
🔗 NVD الرسمي
📄 الوصف (الإنجليزية)

CMDBuild 3.3.2 contains multiple stored cross-site scripting vulnerabilities that allow authenticated attackers to inject arbitrary web script or HTML via crafted input in card creation and file upload endpoints. Attackers can inject XSS payloads through Employee card parameters or SVG file attachments in the classes endpoint, which execute when other users view the affected records or preview attachments.

🤖 ملخص AI

CMDBuild 3.3.2 contains multiple stored XSS vulnerabilities in card creation and file upload endpoints that allow authenticated attackers to inject malicious scripts. These vulnerabilities execute when other users view affected records or preview attachments, potentially leading to session hijacking, credential theft, and lateral movement within enterprise networks. The lack of available patches and no public exploits present a moderate but persistent risk requiring immediate compensating controls.

📄 الوصف (العربية)

🤖 التحليل الذكي آخر تحليل: May 13, 2026 11:19
🇸🇦 التأثير على المملكة العربية السعودية
Saudi government agencies and critical infrastructure operators using CMDBuild for asset management and configuration tracking face significant risk. Banking sector (SAMA-regulated institutions) utilizing CMDBuild for IT asset management could experience unauthorized access to sensitive financial systems. Telecommunications providers (STC, Mobily) managing network infrastructure through CMDBuild are vulnerable to lateral movement attacks. Healthcare organizations using CMDBuild for medical device inventory management could face patient data exposure. Energy sector (ARAMCO, SEC) relying on CMDBuild for operational technology asset tracking could enable supply chain attacks. The stored XSS nature means persistent compromise of shared asset databases affecting multiple users simultaneously.
🏢 القطاعات السعودية المتأثرة
Government and Public Administration Banking and Financial Services Telecommunications Healthcare Energy and Utilities Critical Infrastructure
⚖️ درجة المخاطر السعودية (AI)
6.8
/ 10.0
🔧 Remediation Steps (English)
IMMEDIATE ACTIONS:

1. Restrict CMDBuild 3.3.2 access to trusted internal networks only; disable external access

2. Implement strict input validation and output encoding on all card creation and file upload endpoints

3. Enforce Content Security Policy (CSP) headers with strict-dynamic and nonce-based script execution

4. Disable SVG file uploads or implement strict SVG sanitization (remove script tags, event handlers)

5. Conduct immediate audit of all Employee cards and file attachments for malicious payloads



COMPENSATING CONTROLS:

6. Deploy Web Application Firewall (WAF) rules to detect and block XSS patterns in POST requests to /card and /classes endpoints

7. Implement HTML sanitization library (DOMPurify, Bleach) for all user-generated content

8. Enable detailed logging and monitoring of card modifications and file uploads with SIEM integration

9. Restrict file upload types to non-executable formats; implement file type validation on both client and server

10. Require multi-factor authentication for CMDBuild access to limit authenticated attacker surface



DETECTION:

11. Monitor for suspicious JavaScript patterns in card parameters: <script>, onerror=, onload=, javascript:

12. Alert on SVG uploads containing <script> tags or event handlers

13. Track unusual access patterns to recently modified cards by multiple users

14. Upgrade to CMDBuild 3.4.0+ when available and test thoroughly before production deployment
🔧 خطوات المعالجة (العربية)
الإجراءات الفورية:

1. تقييد وصول CMDBuild 3.3.2 إلى الشبكات الداخلية الموثوقة فقط؛ تعطيل الوصول الخارجي

2. تنفيذ التحقق الصارم من المدخلات وترميز المخرجات على جميع نقاط نهاية إنشاء البطاقات وتحميل الملفات

3. فرض رؤوس سياسة أمان المحتوى (CSP) مع تنفيذ النصوص البرمجية القائمة على strict-dynamic و nonce

4. تعطيل تحميل ملفات SVG أو تنفيذ تطهير صارم لـ SVG (إزالة علامات البرنامج النصي ومعالجات الأحداث)

5. إجراء تدقيق فوري لجميع بطاقات الموظفين والمرفقات بحثاً عن حمولات ضارة



الضوابط التعويضية:

6. نشر قواعد جدار حماية تطبيقات الويب (WAF) للكشف عن أنماط XSS وحجبها في طلبات POST إلى نقاط النهاية

7. تنفيذ مكتبة تطهير HTML (DOMPurify, Bleach) لجميع المحتوى الذي ينشئه المستخدم

8. تفعيل السجلات التفصيلية ومراقبة تعديلات البطاقات وتحميل الملفات مع تكامل SIEM

9. تقييد أنواع تحميل الملفات إلى تنسيقات غير قابلة للتنفيذ؛ تنفيذ التحقق من نوع الملف على العميل والخادم

10. طلب المصادقة متعددة العوامل لوصول CMDBuild لتقليل سطح المهاجم المصرح



الكشف:

11. مراقبة أنماط JavaScript المريبة في معاملات البطاقات

12. تنبيهات على تحميل SVG التي تحتوي على علامات برنامج نصي أو معالجات أحداث

13. تتبع أنماط الوصول غير العادية للبطاقات المعدلة مؤخراً من قبل مستخدمين متعددين

14. الترقية إلى CMDBuild 3.4.0+ عند توفره واختباره بدقة قبل نشر الإنتاج
📋 خريطة الامتثال التنظيمي
🟢 NCA ECC 2024
5.2.1 - Input validation and output encoding controls 5.3.1 - Access control for sensitive functions 5.4.1 - Logging and monitoring of security events 5.5.1 - Secure development practices and code review
🔵 SAMA CSF
ID.GV-1 - Organizational processes to manage cybersecurity risk PR.AC-1 - Access control policies and procedures PR.DS-1 - Data security and protection measures DE.CM-1 - Detection and monitoring of unauthorized activities
🟡 ISO 27001:2022
A.5.1.1 - Policies for information security A.6.1.1 - Information security roles and responsibilities A.8.2.1 - User endpoint devices security A.13.1.1 - Network security perimeter A.14.2.1 - Secure development policy
🟣 PCI DSS v4.0.1
6.5.1 - Injection flaws prevention 6.5.7 - Cross-site scripting (XSS) prevention 10.2.1 - Logging of user access to cardholder data
📊 CVSS Score
6.4
/ 10.0 — متوسط
📊 CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:L/I:L/A:N
Attack VectorN — None / Network
Attack ComplexityL — Low / Local
Privileges RequiredL — Low / Local
User InteractionN — None / Network
ScopeC — Changed
ConfidentialityL — Low / Local
IntegrityL — Low / Local
AvailabilityN — None / Network
📋 حقائق سريعة
الخطورة متوسط
CVSS Score6.4
CWECWE-79
EPSS0.03%
اختراق متاح لا
تصحيح متاح ✗ لا
تاريخ النشر 2026-05-10
المصدر nvd
المشاهدات 1
🇸🇦 درجة المخاطر السعودية
6.8
/ 10.0 — مخاطر السعودية
أولوية: HIGH
🏷️ الوسوم
CWE-79
⚡ إجراءات
🔗 NVD Official Page ⚡ Exploit-DB Search 🐙 GitHub PoC Search 🎯 MITRE ATT&CK 📊 CVE Details
مشاركة ثغرة
LinkedIn X / Twitter WhatsApp Telegram
📣 وجدت هذا مفيداً؟
شاركه مع شبكة الأمن السيبراني الخاصة بك
in لينكدإن 𝕏 تويتر 💬 واتساب ✈ تليجرام
🍪 إعدادات الخصوصية
سيزو للاستشارات — متوافق مع نظام حماية البيانات الشخصية السعودي (PDPL)
نستخدم ملفات تعريف الارتباط والتقنيات المشابهة لتوفير أفضل تجربة على منصتنا. يمكنك اختيار الأنواع التي تقبلها.
🔒
ملفات ضرورية Always On
مطلوبة لعمل الموقع بشكل صحيح. لا يمكن تعطيلها.
📋 الجلسات، CSRF، المصادقة، تفضيلات اللغة
📊
ملفات التحليلات
تساعدنا في فهم كيفية استخدام الزوار للموقع وتحسين الأداء.
📋 إحصائيات الصفحات، مدة الجلسة، مصدر الزيارة
⚙️
ملفات وظيفية
تتيح ميزات محسنة مثل تخصيص المحتوى والتفضيلات.
📋 السمة المظلمة/الفاتحة، حجم الخط، لوحات التحكم المخصصة
📣
ملفات تسويقية
تُستخدم لتقديم محتوى وإعلانات ذات صلة باهتماماتك.
📋 تتبع الحملات، إعادة الاستهداف، تحليلات وسائل التواصل
سياسة الخصوصية →
مساعد CISO الذكي
اسألني أي شيء · وثائق · دعم
🔐

عرّفنا بنفسك

أدخل بياناتك للوصول إلى المساعد الكامل

معلوماتك آمنة ولن تُشارك
💬
المساعد السيبراني
متصل — يرد في ثوانٍ
5 / 5
🔐 تحقق من هويتك

أدخل بريدك الإلكتروني لإرسال رمز تحقق قبل إرسال طلب الدعم.

Enter للإرسال · / للأوامر 0 / 2000
CISO AI · مدعوم بالذكاء الاصطناعي
✦ استطلاع سريع ساعدنا في تحسين منصة سيزو للاستشارات ملاحظاتك تشكّل مستقبل منصتنا — لا تستغرق سوى دقيقتين.
⚠ يرجى الإجابة على هذا السؤال للمتابعة

كيف تقيّم تجربتك العامة مع منصتنا؟

قيّم من 1 (ضعيف) إلى 5 (ممتاز)

🎉
شكراً جزيلاً!
تم تسجيل إجابتك بنجاح.