📧 info@ciso.sa | 📱 +966550939344 | الرياض، المملكة العربية السعودية
عن المنصة الأسئلة الشائعة اتصل بنا شروط الخدمة سياسة الخصوصية 🌐 English
🔐

مرحباً — سجّل دخولك أو أنشئ حساباً للوصول الكامل.

🔑 دخول ✨ حساب جديد
🌐 EN تسجيل الدخول إنشاء حساب
🔧 صيانة مجدولة — السبت 2:00-4:00 صباحاً. قد تكون بعض الميزات غير متاحة مؤقتاً.    ●   
💎
خطة Pro بخصم 50% احصل على جميع ميزات AI والتقارير غير المحدودة والدعم ذي الأولوية. الترقية الآن
مركز البحث
ESC للإغلاق
تنقل فتح Ctrl+K بحث
CISO Consulting
Global insider التعليم HIGH 7h Global supply_chain تطوير البرمجيات والتكنولوجيا HIGH 12h Global apt الحكومة والبنية التحتية الحرجة CRITICAL 14h Global vulnerability برامج المؤسسات / تحليل البيانات CRITICAL 15h Global vulnerability الذكاء الاصطناعي والتكنولوجيا HIGH 18h Global general قطاع التكنولوجيا والذكاء الاصطناعي MEDIUM 22h Global general قطاع التكنولوجيا والذكاء الاصطناعي HIGH 23h Global vulnerability التعليم العالي CRITICAL 1d Global data_breach القطاع الحكومي HIGH 1d Global supply_chain تطوير البرمجيات والمجتمعات مفتوحة المصدر CRITICAL 1d Global insider التعليم HIGH 7h Global supply_chain تطوير البرمجيات والتكنولوجيا HIGH 12h Global apt الحكومة والبنية التحتية الحرجة CRITICAL 14h Global vulnerability برامج المؤسسات / تحليل البيانات CRITICAL 15h Global vulnerability الذكاء الاصطناعي والتكنولوجيا HIGH 18h Global general قطاع التكنولوجيا والذكاء الاصطناعي MEDIUM 22h Global general قطاع التكنولوجيا والذكاء الاصطناعي HIGH 23h Global vulnerability التعليم العالي CRITICAL 1d Global data_breach القطاع الحكومي HIGH 1d Global supply_chain تطوير البرمجيات والمجتمعات مفتوحة المصدر CRITICAL 1d Global insider التعليم HIGH 7h Global supply_chain تطوير البرمجيات والتكنولوجيا HIGH 12h Global apt الحكومة والبنية التحتية الحرجة CRITICAL 14h Global vulnerability برامج المؤسسات / تحليل البيانات CRITICAL 15h Global vulnerability الذكاء الاصطناعي والتكنولوجيا HIGH 18h Global general قطاع التكنولوجيا والذكاء الاصطناعي MEDIUM 22h Global general قطاع التكنولوجيا والذكاء الاصطناعي HIGH 23h Global vulnerability التعليم العالي CRITICAL 1d Global data_breach القطاع الحكومي HIGH 1d Global supply_chain تطوير البرمجيات والمجتمعات مفتوحة المصدر CRITICAL 1d
الثغرات

CVE-2025-12957

مرتفع
The All-in-One Video Gallery plugin for WordPress is vulnerable to arbitrary file upload in all versions up to, and including, 4.5.7. This is due to insufficient file type validation detecting VTT fil
CWE-434 — نوع الضعف
نُشر: Jan 16, 2026  ·  آخر تحديث: Feb 28, 2026  ·  المصدر: NVD
CVSS v3
8.8
🔗 NVD الرسمي
📄 الوصف (الإنجليزية)

The All-in-One Video Gallery plugin for WordPress is vulnerable to arbitrary file upload in all versions up to, and including, 4.5.7. This is due to insufficient file type validation detecting VTT files, allowing double extension files to bypass sanitization while being accepted as a valid VTT file. This makes it possible for authenticated attackers, with author-level access and above, to upload arbitrary files on the affected site's server which may make remote code execution possible.

🤖 ملخص AI

The All-in-One Video Gallery WordPress plugin (versions ≤4.5.7) contains a critical arbitrary file upload vulnerability allowing authenticated users with author-level privileges to bypass file type validation through double extension techniques. Attackers can upload malicious files (e.g., .php.vtt) that execute as code on the server, potentially leading to complete site compromise and lateral movement within organizational networks. This vulnerability poses significant risk to Saudi organizations using WordPress for content management, particularly those with multiple content contributors.

📄 الوصف (العربية)

🤖 التحليل الذكي آخر تحليل: Apr 22, 2026 04:02
🇸🇦 التأثير على المملكة العربية السعودية
High impact for Saudi media companies, news organizations, educational institutions, and government agencies using WordPress. Banking sector websites using WordPress for customer portals face elevated risk. Telecommunications companies (STC, Mobily) with WordPress-based content platforms are vulnerable. Healthcare organizations using WordPress for patient education materials could face HIPAA-equivalent compliance violations under SAMA regulations. Government entities under NCA oversight could face critical infrastructure compromise if WordPress sites are internet-facing. The vulnerability is particularly dangerous in organizations with multiple content creators (journalists, educators, administrators) who may unknowingly upload compromised files.
🏢 القطاعات السعودية المتأثرة
Media & Publishing Government & Public Sector Education Banking & Financial Services Healthcare Telecommunications E-commerce Non-profit Organizations
⚖️ درجة المخاطر السعودية (AI)
8.2
/ 10.0
🔧 Remediation Steps (English)
IMMEDIATE ACTIONS:

1. Update All-in-One Video Gallery plugin to version 4.5.8 or later immediately

2. Audit all uploaded files in the past 90 days, particularly those with double extensions (.php.vtt, .exe.vtt, .jsp.vtt, etc.)

3. Review web server access logs for suspicious file uploads and execution patterns

4. Restrict author-level permissions to trusted users only; implement principle of least privilege

5. Disable file uploads temporarily if patch cannot be applied immediately



PATCHING GUIDANCE:

- Deploy patch via WordPress admin dashboard or manually update plugin files

- Test in staging environment before production deployment

- Verify file upload validation is functioning correctly post-patch



COMPENSATING CONTROLS (if immediate patching impossible):

- Implement Web Application Firewall (WAF) rules blocking .php.vtt, .exe.vtt, .jsp.vtt uploads

- Configure web server to prevent execution of scripts in upload directories (disable PHP execution in /wp-content/uploads/)

- Implement file type validation at web server level using MIME type checking

- Monitor upload directory for suspicious files using SIEM/file integrity monitoring



DETECTION RULES:

- Alert on file uploads with double extensions matching executable patterns

- Monitor for POST requests to /wp-admin/upload.php with suspicious file parameters

- Track failed file type validations in WordPress debug logs

- Flag any .vtt files larger than 5MB or containing binary content
🔧 خطوات المعالجة (العربية)
الإجراءات الفورية:

1. تحديث مكون All-in-One Video Gallery إلى الإصدار 4.5.8 أو أحدث فوراً

2. تدقيق جميع الملفات المرفوعة في آخر 90 يوماً، خاصة تلك التي تحتوي على امتدادات مزدوجة

3. مراجعة سجلات الوصول إلى خادم الويب للأنماط المريبة في التحميل والتنفيذ

4. تقييد صلاحيات مستوى المؤلف للمستخدمين الموثوقين فقط

5. تعطيل تحميل الملفات مؤقتاً إذا تعذر تطبيق التصحيح فوراً



إرشادات التصحيح:

- نشر التصحيح عبر لوحة تحكم WordPress أو تحديث ملفات المكون يدوياً

- الاختبار في بيئة التطوير قبل النشر في الإنتاج

- التحقق من أن التحقق من تحميل الملفات يعمل بشكل صحيح بعد التصحيح



الضوابط البديلة:

- تطبيق قواعد جدار الحماية لحجب تحميلات الملفات ذات الامتدادات المزدوجة

- تكوين خادم الويب لمنع تنفيذ البرامج النصية في مجلدات التحميل

- تطبيق التحقق من نوع الملف على مستوى خادم الويب

- مراقبة مجلد التحميل للملفات المريبة باستخدام أدوات المراقبة



قواعد الكشف:

- تنبيهات عند تحميل ملفات بامتدادات مزدوجة

- مراقبة طلبات POST المريبة إلى صفحات التحميل

- تتبع فشل التحقق من نوع الملف في سجلات WordPress

- وضع علامة على ملفات .vtt الكبيرة أو التي تحتوي على محتوى ثنائي
📋 خريطة الامتثال التنظيمي
🟢 NCA ECC 2024
ECC 2024 A.14.2.1 - Information security requirements for supplier relationships (WordPress plugin supply chain) ECC 2024 A.12.2.1 - Change management procedures (patch deployment) ECC 2024 A.12.4.1 - Event logging and monitoring (file upload detection) ECC 2024 A.5.1.1 - Policies for information security (access control to upload functions)
🔵 SAMA CSF
Governance & Risk Management - Vulnerability management and patch deployment Information & Cybersecurity - File integrity monitoring and malware detection Operational Resilience - Incident response for unauthorized file uploads Third-party Risk Management - WordPress plugin security assessment
🟡 ISO 27001:2022
ISO 27001:2022 A.5.1 - Policies for information security ISO 27001:2022 A.6.1 - Organization of information security ISO 27001:2022 A.8.1 - User endpoint devices ISO 27001:2022 A.12.2 - Change management ISO 27001:2022 A.12.4 - Event logging ISO 27001:2022 A.14.2 - Supplier relationships
🟣 PCI DSS v4.0.1
PCI DSS 6.2 - Security patches for all system components PCI DSS 6.5.8 - Improper access control (file upload restrictions) PCI DSS 10.2 - Logging and monitoring of access to cardholder data PCI DSS 12.3 - Security policy for third-party service providers
📊 CVSS Score
8.8
/ 10.0 — مرتفع
📊 CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H
Attack VectorN — None / Network
Attack ComplexityL — Low / Local
Privileges RequiredL — Low / Local
User InteractionN — None / Network
ScopeU — Unchanged
ConfidentialityH — High
IntegrityH — High
AvailabilityH — High
📋 حقائق سريعة
الخطورة مرتفع
CVSS Score8.8
CWECWE-434
EPSS0.05%
اختراق متاح لا
تصحيح متاح ✓ نعم
تاريخ النشر 2026-01-16
المصدر nvd
المشاهدات 6
🇸🇦 درجة المخاطر السعودية
8.2
/ 10.0 — مخاطر السعودية
أولوية: CRITICAL
🏷️ الوسوم
CWE-434
⚡ إجراءات
🔗 NVD Official Page ⚡ Exploit-DB Search 🐙 GitHub PoC Search 🎯 MITRE ATT&CK 📊 CVE Details
مشاركة ثغرة
LinkedIn X / Twitter WhatsApp Telegram

💬 التعليقات

0
جارٍ التحميل
📣 وجدت هذا مفيداً؟
شاركه مع شبكة الأمن السيبراني الخاصة بك
in لينكدإن 𝕏 تويتر 💬 واتساب ✈ تليجرام
🍪 إعدادات الخصوصية
سيزو للاستشارات — متوافق مع نظام حماية البيانات الشخصية السعودي (PDPL)
نستخدم ملفات تعريف الارتباط والتقنيات المشابهة لتوفير أفضل تجربة على منصتنا. يمكنك اختيار الأنواع التي تقبلها.
🔒
ملفات ضرورية Always On
مطلوبة لعمل الموقع بشكل صحيح. لا يمكن تعطيلها.
📋 الجلسات، CSRF، المصادقة، تفضيلات اللغة
📊
ملفات التحليلات
تساعدنا في فهم كيفية استخدام الزوار للموقع وتحسين الأداء.
📋 إحصائيات الصفحات، مدة الجلسة، مصدر الزيارة
⚙️
ملفات وظيفية
تتيح ميزات محسنة مثل تخصيص المحتوى والتفضيلات.
📋 السمة المظلمة/الفاتحة، حجم الخط، لوحات التحكم المخصصة
📣
ملفات تسويقية
تُستخدم لتقديم محتوى وإعلانات ذات صلة باهتماماتك.
📋 تتبع الحملات، إعادة الاستهداف، تحليلات وسائل التواصل
سياسة الخصوصية →
مساعد CISO الذكي
اسألني أي شيء · وثائق · دعم
🔐

عرّفنا بنفسك

أدخل بياناتك للوصول إلى المساعد الكامل

معلوماتك آمنة ولن تُشارك
💬
المساعد السيبراني
متصل — يرد في ثوانٍ
5 / 5
🔐 تحقق من هويتك

أدخل بريدك الإلكتروني لإرسال رمز تحقق قبل إرسال طلب الدعم.

Enter للإرسال · / للأوامر 0 / 2000
CISO AI · مدعوم بالذكاء الاصطناعي
✦ استطلاع سريع ساعدنا في تحسين منصة سيزو للاستشارات ملاحظاتك تشكّل مستقبل منصتنا — لا تستغرق سوى دقيقتين.
⚠ يرجى الإجابة على هذا السؤال للمتابعة

كيف تقيّم تجربتك العامة مع منصتنا؟

قيّم من 1 (ضعيف) إلى 5 (ممتاز)

🎉
شكراً جزيلاً!
تم تسجيل إجابتك بنجاح.