📧 info@ciso.sa | 📱 +966550939344 | الرياض، المملكة العربية السعودية
عن المنصة الأسئلة الشائعة اتصل بنا شروط الخدمة سياسة الخصوصية 🌐 English
🔐

مرحباً — سجّل دخولك أو أنشئ حساباً للوصول الكامل.

🔑 دخول ✨ حساب جديد
🌐 EN تسجيل الدخول إنشاء حساب
🔧 صيانة مجدولة — السبت 2:00-4:00 صباحاً. قد تكون بعض الميزات غير متاحة مؤقتاً.    ●   
💎
خطة Pro بخصم 50% احصل على جميع ميزات AI والتقارير غير المحدودة والدعم ذي الأولوية. الترقية الآن
مركز البحث
ESC للإغلاق
تنقل فتح Ctrl+K بحث
CISO Consulting
Global apt مزودو الخدمات المدارة / خدمات تكنولوجيا المعلومات HIGH 2h Global vulnerability برمجيات المؤسسات HIGH 2h Global general عمليات الأمن السيبراني HIGH 2h Global general صناعة الأمن السيبراني LOW 2h Global supply_chain قطاعات متعددة CRITICAL 2h Global vulnerability الحكومة والوكالات الفيدرالية HIGH 2h Global malware المؤسسات والقطاعات المتعددة CRITICAL 3h Global data_breach التجارة الإلكترونية والبيع بالتجزئة CRITICAL 3h Global vulnerability الحكومة والإدارة العامة CRITICAL 3h Global vulnerability الأمن الفيزيائي والمراقبة CRITICAL 4h Global apt مزودو الخدمات المدارة / خدمات تكنولوجيا المعلومات HIGH 2h Global vulnerability برمجيات المؤسسات HIGH 2h Global general عمليات الأمن السيبراني HIGH 2h Global general صناعة الأمن السيبراني LOW 2h Global supply_chain قطاعات متعددة CRITICAL 2h Global vulnerability الحكومة والوكالات الفيدرالية HIGH 2h Global malware المؤسسات والقطاعات المتعددة CRITICAL 3h Global data_breach التجارة الإلكترونية والبيع بالتجزئة CRITICAL 3h Global vulnerability الحكومة والإدارة العامة CRITICAL 3h Global vulnerability الأمن الفيزيائي والمراقبة CRITICAL 4h Global apt مزودو الخدمات المدارة / خدمات تكنولوجيا المعلومات HIGH 2h Global vulnerability برمجيات المؤسسات HIGH 2h Global general عمليات الأمن السيبراني HIGH 2h Global general صناعة الأمن السيبراني LOW 2h Global supply_chain قطاعات متعددة CRITICAL 2h Global vulnerability الحكومة والوكالات الفيدرالية HIGH 2h Global malware المؤسسات والقطاعات المتعددة CRITICAL 3h Global data_breach التجارة الإلكترونية والبيع بالتجزئة CRITICAL 3h Global vulnerability الحكومة والإدارة العامة CRITICAL 3h Global vulnerability الأمن الفيزيائي والمراقبة CRITICAL 4h
الثغرات

CVE-2022-50967

متوسط
CWE-79 — نوع الضعف
نُشر: May 10, 2026  ·  آخر تحديث: May 13, 2026  ·  المصدر: NVD
CVSS v3
6.1
🔗 NVD الرسمي
📄 الوصف (الإنجليزية)

uBidAuction 2.0.1 contains a reflected cross-site scripting vulnerability in the tickets/manage module. The date_created, date_from, date_to, and created_at parameters in the filter functionality are not properly sanitized, allowing remote attackers to inject malicious scripts via crafted GET requests that execute in victims' browsers.

🤖 ملخص AI

CVE-2022-50967 is a reflected XSS vulnerability in uBidAuction 2.0.1 affecting the tickets/manage module through unsanitized date filter parameters. While no public exploit exists and CVSS is moderate (6.1), the lack of available patches and widespread use of auction platforms in Saudi e-commerce creates persistent risk. Attackers can inject malicious scripts to steal session tokens, credentials, or perform unauthorized actions on behalf of authenticated users.

📄 الوصف (العربية)

🤖 التحليل الذكي آخر تحليل: May 23, 2026 09:19
🇸🇦 التأثير على المملكة العربية السعودية
Saudi e-commerce and auction platforms using uBidAuction 2.0.1 face significant risk, particularly in the retail and online marketplace sectors. Government procurement platforms and ARAMCO vendor management systems using this software could be compromised. Banking sector exposure is moderate if integrated with payment processing. Telecom companies (STC, Mobily) using auction systems for spectrum or equipment procurement are at risk. The vulnerability enables credential theft, session hijacking, and unauthorized transaction manipulation affecting both platform operators and end-users.
🏢 القطاعات السعودية المتأثرة
E-commerce and Online Retail Government Procurement Banking and Financial Services Telecommunications Energy and Utilities Vendor Management Systems
⚖️ درجة المخاطر السعودية (AI)
6.8
/ 10.0
🔧 Remediation Steps (English)
Immediate Actions:

1. Identify all instances of uBidAuction 2.0.1 in production environments across your organization

2. Restrict access to the tickets/manage module to trusted networks only via WAF rules

3. Implement input validation rules blocking special characters in date_created, date_from, date_to, and created_at parameters



Compensating Controls:

1. Deploy Web Application Firewall (WAF) rules to detect and block XSS payloads in GET parameters

2. Implement Content Security Policy (CSP) headers: Content-Security-Policy: default-src 'self'; script-src 'self'

3. Enable HTTP-only and Secure flags on session cookies to prevent JavaScript access

4. Apply output encoding/escaping for all date parameters using HTML entity encoding

5. Implement strict input validation: only allow date formats (YYYY-MM-DD) and reject any HTML/script content



Detection Rules:

1. Monitor for GET requests to /tickets/manage containing script tags, event handlers (onclick, onerror), or encoded payloads

2. Alert on unusual characters in date parameters: <, >, ", ', %, &, javascript:, onerror=, onload=

3. Log and review all requests with parameter values exceeding expected date format length

4. Implement SIEM rules to detect multiple XSS attempts from same source IP



Long-term:

1. Contact uBidAuction vendor for security patch or upgrade timeline

2. Evaluate alternative auction platform solutions with active security maintenance

3. Plan migration away from uBidAuction 2.0.1 if vendor does not provide timely patches
🔧 خطوات المعالجة (العربية)
الإجراءات الفورية:

1. تحديد جميع حالات uBidAuction 2.0.1 في بيئات الإنتاج عبر مؤسستك

2. تقييد الوصول إلى وحدة إدارة التذاكر على الشبكات الموثوقة فقط عبر قواعد WAF

3. تنفيذ قواعد التحقق من الإدخال لحظر الأحرف الخاصة في معاملات date_created و date_from و date_to و created_at



الضوابط التعويضية:

1. نشر قواعد جدار حماية تطبيقات الويب (WAF) للكشف عن حمولات XSS وحظرها في معاملات GET

2. تنفيذ رؤوس سياسة أمان المحتوى (CSP): Content-Security-Policy: default-src 'self'; script-src 'self'

3. تفعيل أعلام HTTP-only و Secure على ملفات تعريف الجلسة لمنع وصول JavaScript

4. تطبيق ترميز/هروب الإخراج لجميع معاملات التاريخ باستخدام ترميز كيان HTML

5. تنفيذ التحقق الصارم من الإدخال: السماح فقط بتنسيقات التاريخ (YYYY-MM-DD) ورفض أي محتوى HTML/نصوص برمجية



قواعد الكشف:

1. مراقبة طلبات GET إلى /tickets/manage التي تحتوي على علامات نصية برمجية أو معالجات أحداث أو حمولات مشفرة

2. التنبيه على الأحرف غير العادية في معاملات التاريخ: <, >, ", ', %, &, javascript:, onerror=, onload=

3. تسجيل ومراجعة جميع الطلبات التي تتجاوز قيم المعاملات طول تنسيق التاريخ المتوقع

4. تنفيذ قواعد SIEM للكشف عن محاولات XSS المتعددة من نفس عنوان IP



المدى الطويل:

1. الاتصال بمورد uBidAuction للحصول على تصحيح أمني أو جدول زمني للترقية

2. تقييم حلول منصات المزادات البديلة مع صيانة أمان نشطة

3. التخطيط للهجرة بعيداً عن uBidAuction 2.0.1 إذا لم يوفر المورد تصحيحات في الوقت المناسب
📋 خريطة الامتثال التنظيمي
🟢 NCA ECC 2024
ECC 2024 A.14.2.1 - Secure development policy and procedures ECC 2024 A.14.2.5 - Security testing in development and acceptance ECC 2024 A.14.3.1 - Information security requirements for external parties ECC 2024 A.5.23 - Web application security controls
🔵 SAMA CSF
SAMA CSF 2.1 - Governance and Risk Management SAMA CSF 3.2 - Technical Security Controls SAMA CSF 3.2.1 - Application Security SAMA CSF 4.1 - Detection and Response
🟡 ISO 27001:2022
ISO 27001:2022 A.8.1 - Organizational controls for information security ISO 27001:2022 A.8.2.3 - Segregation of duties ISO 27001:2022 A.14.2.1 - Secure development policy ISO 27001:2022 A.14.2.5 - Secure development environment ISO 27001:2022 A.14.3.1 - Separation of development, test and production environments
🟣 PCI DSS v4.0.1
PCI DSS 6.5.7 - Cross-site scripting (XSS) prevention PCI DSS 6.5.1 - Injection flaws prevention PCI DSS 6.2 - Security patches and updates
📊 CVSS Score
6.1
/ 10.0 — متوسط
📊 CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N
Attack VectorN — None / Network
Attack ComplexityL — Low / Local
Privileges RequiredN — None / Network
User InteractionR — Required
ScopeC — Changed
ConfidentialityL — Low / Local
IntegrityL — Low / Local
AvailabilityN — None / Network
📋 حقائق سريعة
الخطورة متوسط
CVSS Score6.1
CWECWE-79
EPSS0.04%
اختراق متاح لا
تصحيح متاح ✗ لا
تاريخ النشر 2026-05-10
المصدر nvd
المشاهدات 1
🇸🇦 درجة المخاطر السعودية
6.8
/ 10.0 — مخاطر السعودية
أولوية: HIGH
🏷️ الوسوم
CWE-79
⚡ إجراءات
🔗 NVD Official Page ⚡ Exploit-DB Search 🐙 GitHub PoC Search 🎯 MITRE ATT&CK 📊 CVE Details
مشاركة ثغرة
LinkedIn X / Twitter WhatsApp Telegram
📣 وجدت هذا مفيداً؟
شاركه مع شبكة الأمن السيبراني الخاصة بك
in لينكدإن 𝕏 تويتر 💬 واتساب ✈ تليجرام
🍪 إعدادات الخصوصية
سيزو للاستشارات — متوافق مع نظام حماية البيانات الشخصية السعودي (PDPL)
نستخدم ملفات تعريف الارتباط والتقنيات المشابهة لتوفير أفضل تجربة على منصتنا. يمكنك اختيار الأنواع التي تقبلها.
🔒
ملفات ضرورية Always On
مطلوبة لعمل الموقع بشكل صحيح. لا يمكن تعطيلها.
📋 الجلسات، CSRF، المصادقة، تفضيلات اللغة
📊
ملفات التحليلات
تساعدنا في فهم كيفية استخدام الزوار للموقع وتحسين الأداء.
📋 إحصائيات الصفحات، مدة الجلسة، مصدر الزيارة
⚙️
ملفات وظيفية
تتيح ميزات محسنة مثل تخصيص المحتوى والتفضيلات.
📋 السمة المظلمة/الفاتحة، حجم الخط، لوحات التحكم المخصصة
📣
ملفات تسويقية
تُستخدم لتقديم محتوى وإعلانات ذات صلة باهتماماتك.
📋 تتبع الحملات، إعادة الاستهداف، تحليلات وسائل التواصل
سياسة الخصوصية →
مساعد CISO الذكي
اسألني أي شيء · وثائق · دعم
🔐

عرّفنا بنفسك

أدخل بياناتك للوصول إلى المساعد الكامل

معلوماتك آمنة ولن تُشارك
💬
المساعد السيبراني
متصل — يرد في ثوانٍ
5 / 5
🔐 تحقق من هويتك

أدخل بريدك الإلكتروني لإرسال رمز تحقق قبل إرسال طلب الدعم.

Enter للإرسال · / للأوامر 0 / 2000
CISO AI · مدعوم بالذكاء الاصطناعي
✦ استطلاع سريع ساعدنا في تحسين منصة سيزو للاستشارات ملاحظاتك تشكّل مستقبل منصتنا — لا تستغرق سوى دقيقتين.
⚠ يرجى الإجابة على هذا السؤال للمتابعة

كيف تقيّم تجربتك العامة مع منصتنا؟

قيّم من 1 (ضعيف) إلى 5 (ممتاز)

🎉
شكراً جزيلاً!
تم تسجيل إجابتك بنجاح.