📧 info@ciso.sa | 📱 +966550939344 | الرياض، المملكة العربية السعودية
عن المنصة الأسئلة الشائعة اتصل بنا شروط الخدمة سياسة الخصوصية 🌐 English
🔐

مرحباً — سجّل دخولك أو أنشئ حساباً للوصول الكامل.

🔑 دخول ✨ حساب جديد
🌐 EN تسجيل الدخول إنشاء حساب
🔧 صيانة مجدولة — السبت 2:00-4:00 صباحاً. قد تكون بعض الميزات غير متاحة مؤقتاً.    ●   
💎
خطة Pro بخصم 50% احصل على جميع ميزات AI والتقارير غير المحدودة والدعم ذي الأولوية. الترقية الآن
مركز البحث
ESC للإغلاق
تنقل فتح Ctrl+K بحث
CISO Consulting
Global apt الخدمات المالية والمصرفية HIGH 3h Global vulnerability قطاع التكنولوجيا وتطوير البرمجيات HIGH 6h Global vulnerability الحكومة والوكالات الفيدرالية CRITICAL 6h Global supply_chain تطوير البرمجيات والنظم البيئية مفتوحة المصدر HIGH 7h Global vulnerability برامج المؤسسات/البرامج كخدمة MEDIUM 7h Global supply_chain تطوير البرمجيات HIGH 7h Global general التأمين/إدارة المخاطر HIGH 7h Global data_breach برامج المؤسسات / تكنولوجيا المعلومات CRITICAL 9h Global vulnerability التكنولوجيا/البرمجيات CRITICAL 11h Global malware وسائل التواصل الاجتماعي وتكنولوجيا المستهلك HIGH 11h Global apt الخدمات المالية والمصرفية HIGH 3h Global vulnerability قطاع التكنولوجيا وتطوير البرمجيات HIGH 6h Global vulnerability الحكومة والوكالات الفيدرالية CRITICAL 6h Global supply_chain تطوير البرمجيات والنظم البيئية مفتوحة المصدر HIGH 7h Global vulnerability برامج المؤسسات/البرامج كخدمة MEDIUM 7h Global supply_chain تطوير البرمجيات HIGH 7h Global general التأمين/إدارة المخاطر HIGH 7h Global data_breach برامج المؤسسات / تكنولوجيا المعلومات CRITICAL 9h Global vulnerability التكنولوجيا/البرمجيات CRITICAL 11h Global malware وسائل التواصل الاجتماعي وتكنولوجيا المستهلك HIGH 11h Global apt الخدمات المالية والمصرفية HIGH 3h Global vulnerability قطاع التكنولوجيا وتطوير البرمجيات HIGH 6h Global vulnerability الحكومة والوكالات الفيدرالية CRITICAL 6h Global supply_chain تطوير البرمجيات والنظم البيئية مفتوحة المصدر HIGH 7h Global vulnerability برامج المؤسسات/البرامج كخدمة MEDIUM 7h Global supply_chain تطوير البرمجيات HIGH 7h Global general التأمين/إدارة المخاطر HIGH 7h Global data_breach برامج المؤسسات / تكنولوجيا المعلومات CRITICAL 9h Global vulnerability التكنولوجيا/البرمجيات CRITICAL 11h Global malware وسائل التواصل الاجتماعي وتكنولوجيا المستهلك HIGH 11h
الثغرات

CVE-2025-10734

متوسط
The ReviewX – WooCommerce Product Reviews with Multi-Criteria, Reminder Emails, Google Reviews, Schema & More plugin for WordPress is vulnerable to Sensitive Information Exposure in all versions up to
CWE-922 — نوع الضعف
نُشر: Mar 23, 2026  ·  آخر تحديث: Mar 24, 2026  ·  المصدر: NVD
CVSS v3
5.3
🔗 NVD الرسمي
📄 الوصف (الإنجليزية)

The ReviewX – WooCommerce Product Reviews with Multi-Criteria, Reminder Emails, Google Reviews, Schema & More plugin for WordPress is vulnerable to Sensitive Information Exposure in all versions up to, and including, 2.2.12 via the syncedData function. This makes it possible for unauthenticated attackers to extract sensitive data including user names, emails, phone numbers, addresses.

🤖 ملخص AI

ReviewX WordPress plugin versions up to 2.2.12 expose sensitive customer data (names, emails, phone numbers, addresses) through an unauthenticated syncedData function. This CWE-922 vulnerability allows attackers to extract personally identifiable information without authentication. While no exploit is currently public and CVSS is moderate (5.3), the exposure of customer PII poses significant compliance and reputational risks for Saudi e-commerce organizations.

📄 الوصف (العربية)

🤖 التحليل الذكي آخر تحليل: May 29, 2026 10:06
🇸🇦 التأثير على المملكة العربية السعودية
High impact for Saudi e-commerce sector, particularly small and medium enterprises (SMEs) using WooCommerce. Affected sectors include: retail/e-commerce platforms, online marketplaces, hospitality booking systems, and healthcare service providers offering online consultations. Organizations under SAMA oversight conducting e-commerce face data protection violations. Non-compliance with PDPL (Personal Data Protection Law) and NCA ECC 2024 requirements regarding customer data protection. Potential exposure of Saudi customer PII including national ID numbers, phone numbers, and residential addresses creates significant liability.
🏢 القطاعات السعودية المتأثرة
E-commerce and Retail Hospitality and Tourism Healthcare Services Financial Services (payment processing) Telecommunications Government Services (online portals) Education (online platforms)
⚖️ درجة المخاطر السعودية (AI)
6.8
/ 10.0
🔧 Remediation Steps (English)
IMMEDIATE ACTIONS:

1. Disable or deactivate ReviewX plugin immediately until patch is available

2. Audit access logs for syncedData function calls to identify potential unauthorized access

3. Notify affected customers of potential data exposure per PDPL requirements

4. Change all WordPress admin credentials and API keys



PATCHING GUIDANCE:

1. Monitor ReviewX plugin repository for security updates (currently no patch available)

2. Contact plugin vendor for timeline on security patch

3. Consider alternative review plugins with better security posture

4. If plugin must remain active, implement WAF rules to block syncedData endpoint access



COMPENSATING CONTROLS:

1. Implement Web Application Firewall (WAF) rules to restrict access to /wp-admin/admin-ajax.php?action=syncedData

2. Apply IP whitelisting to plugin functionality

3. Implement rate limiting on AJAX endpoints

4. Enable WordPress security headers (X-Frame-Options, X-Content-Type-Options)

5. Deploy intrusion detection rules for syncedData function exploitation attempts



DETECTION RULES:

1. Monitor for POST/GET requests to admin-ajax.php with action=syncedData parameter

2. Alert on successful responses containing email addresses or phone numbers from unauthenticated requests

3. Track database queries accessing wp_users and wp_postmeta tables from plugin context

4. Log all plugin activation/deactivation events
🔧 خطوات المعالجة (العربية)
الإجراءات الفورية:

1. تعطيل أو إلغاء تنشيط مكون ReviewX فوراً حتى توفر التصحيح

2. تدقيق سجلات الوصول لاستدعاءات دالة syncedData لتحديد الوصول غير المصرح به المحتمل

3. إخطار العملاء المتأثرين بتسرب البيانات المحتمل وفقاً لمتطلبات قانون حماية البيانات الشخصية

4. تغيير جميع بيانات اعتماد مسؤول WordPress ومفاتيح API



إرشادات التصحيح:

1. مراقبة مستودع مكون ReviewX للتحديثات الأمنية (لا يوجد تصحيح متاح حالياً)

2. الاتصال بمورد المكون للحصول على جدول زمني لتصحيح الأمان

3. النظر في مكونات المراجعة البديلة ذات وضعية أمان أفضل

4. إذا كان يجب أن يبقى المكون نشطاً، قم بتنفيذ قواعد WAF لحظر وصول نقطة نهاية syncedData



الضوابط التعويضية:

1. تنفيذ قواعد جدار حماية تطبيقات الويب (WAF) لتقييد الوصول إلى /wp-admin/admin-ajax.php?action=syncedData

2. تطبيق القائمة البيضاء للعناوين على وظائف المكون

3. تنفيذ تحديد معدل على نقاط نهاية AJAX

4. تفعيل رؤوس أمان WordPress (X-Frame-Options, X-Content-Type-Options)

5. نشر قواعد كشف الاختراق لمحاولات استغلال دالة syncedData



قواعد الكشف:

1. مراقبة طلبات POST/GET إلى admin-ajax.php مع معامل action=syncedData

2. تنبيه الاستجابات الناجحة التي تحتوي على عناوين بريد إلكترونية أو أرقام هواتف من طلبات غير مصرح بها

3. تتبع استعلامات قاعدة البيانات التي تصل إلى جداول wp_users و wp_postmeta من سياق المكون

4. تسجيل جميع أحداث تنشيط/إلغاء تنشيط المكون
📋 خريطة الامتثال التنظيمي
🟢 NCA ECC 2024
ECC 2024 A.5.1.1 - Information Security Policies and Procedures ECC 2024 A.6.1.2 - Access Control and Authentication ECC 2024 A.8.2.1 - Classification of Information Assets ECC 2024 A.8.3.1 - Handling of Sensitive Data ECC 2024 A.12.4.1 - Event Logging and Monitoring ECC 2024 A.13.1.1 - Incident Management
🔵 SAMA CSF
SAMA CSF ID.AM-2 - Software Inventory and Management SAMA CSF PR.AC-1 - Access Control and Authentication SAMA CSF PR.DS-1 - Data Security and Protection SAMA CSF DE.CM-1 - Detection and Monitoring SAMA CSF RS.MI-1 - Incident Response and Mitigation
🟡 ISO 27001:2022
ISO 27001:2022 A.5.1 - Policies for Information Security ISO 27001:2022 A.6.1 - Screening and Vetting ISO 27001:2022 A.8.1 - User Endpoint Devices ISO 27001:2022 A.8.2 - Privileged Access Rights ISO 27001:2022 A.8.3 - Information Access Restriction ISO 27001:2022 A.12.4 - Logging ISO 27001:2022 A.13.1 - Incident Management
🟣 PCI DSS v4.0.1
PCI DSS 1.1 - Firewall Configuration Standards PCI DSS 2.1 - Default Security Parameters PCI DSS 6.2 - Security Patches and Updates PCI DSS 10.2 - User Access Logging PCI DSS 12.2 - Configuration Standards for System Components
📊 CVSS Score
5.3
/ 10.0 — متوسط
📊 CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:N
Attack VectorN — None / Network
Attack ComplexityL — Low / Local
Privileges RequiredN — None / Network
User InteractionN — None / Network
ScopeU — Unchanged
ConfidentialityL — Low / Local
IntegrityN — None / Network
AvailabilityN — None / Network
📋 حقائق سريعة
الخطورة متوسط
CVSS Score5.3
CWECWE-922
اختراق متاح لا
تصحيح متاح ✗ لا
تاريخ النشر 2026-03-23
المصدر nvd
المشاهدات 5
🇸🇦 درجة المخاطر السعودية
6.8
/ 10.0 — مخاطر السعودية
أولوية: HIGH
🏷️ الوسوم
CWE-922
⚡ إجراءات
🔗 NVD Official Page ⚡ Exploit-DB Search 🐙 GitHub PoC Search 🎯 MITRE ATT&CK 📊 CVE Details
مشاركة ثغرة
LinkedIn X / Twitter WhatsApp Telegram
📣 وجدت هذا مفيداً؟
شاركه مع شبكة الأمن السيبراني الخاصة بك
in لينكدإن 𝕏 تويتر 💬 واتساب ✈ تليجرام
🍪 إعدادات الخصوصية
سيزو للاستشارات — متوافق مع نظام حماية البيانات الشخصية السعودي (PDPL)
نستخدم ملفات تعريف الارتباط والتقنيات المشابهة لتوفير أفضل تجربة على منصتنا. يمكنك اختيار الأنواع التي تقبلها.
🔒
ملفات ضرورية Always On
مطلوبة لعمل الموقع بشكل صحيح. لا يمكن تعطيلها.
📋 الجلسات، CSRF، المصادقة، تفضيلات اللغة
📊
ملفات التحليلات
تساعدنا في فهم كيفية استخدام الزوار للموقع وتحسين الأداء.
📋 إحصائيات الصفحات، مدة الجلسة، مصدر الزيارة
⚙️
ملفات وظيفية
تتيح ميزات محسنة مثل تخصيص المحتوى والتفضيلات.
📋 السمة المظلمة/الفاتحة، حجم الخط، لوحات التحكم المخصصة
📣
ملفات تسويقية
تُستخدم لتقديم محتوى وإعلانات ذات صلة باهتماماتك.
📋 تتبع الحملات، إعادة الاستهداف، تحليلات وسائل التواصل
سياسة الخصوصية →
مساعد CISO الذكي
اسألني أي شيء · وثائق · دعم
🔐

عرّفنا بنفسك

أدخل بياناتك للوصول إلى المساعد الكامل

معلوماتك آمنة ولن تُشارك
💬
المساعد السيبراني
متصل — يرد في ثوانٍ
5 / 5
🔐 تحقق من هويتك

أدخل بريدك الإلكتروني لإرسال رمز تحقق قبل إرسال طلب الدعم.

Enter للإرسال · / للأوامر 0 / 2000
CISO AI · مدعوم بالذكاء الاصطناعي
✦ استطلاع سريع ساعدنا في تحسين منصة سيزو للاستشارات ملاحظاتك تشكّل مستقبل منصتنا — لا تستغرق سوى دقيقتين.
⚠ يرجى الإجابة على هذا السؤال للمتابعة

كيف تقيّم تجربتك العامة مع منصتنا؟

قيّم من 1 (ضعيف) إلى 5 (ممتاز)

🎉
شكراً جزيلاً!
تم تسجيل إجابتك بنجاح.