📧 info@ciso.sa | 📱 +966550939344 | الرياض، المملكة العربية السعودية
عن المنصة الأسئلة الشائعة اتصل بنا شروط الخدمة سياسة الخصوصية 🌐 English
🔐

مرحباً — سجّل دخولك أو أنشئ حساباً للوصول الكامل.

🔑 دخول ✨ حساب جديد
🌐 EN تسجيل الدخول إنشاء حساب
🔧 صيانة مجدولة — السبت 2:00-4:00 صباحاً. قد تكون بعض الميزات غير متاحة مؤقتاً.    ●   
💎
خطة Pro بخصم 50% احصل على جميع ميزات AI والتقارير غير المحدودة والدعم ذي الأولوية. الترقية الآن
مركز البحث
ESC للإغلاق
تنقل فتح Ctrl+K بحث
CISO Consulting
Global insider التعليم HIGH 2h Global supply_chain تطوير البرمجيات والتكنولوجيا HIGH 7h Global apt الحكومة والبنية التحتية الحرجة CRITICAL 9h Global vulnerability برامج المؤسسات / تحليل البيانات CRITICAL 10h Global vulnerability الذكاء الاصطناعي والتكنولوجيا HIGH 13h Global general قطاع التكنولوجيا والذكاء الاصطناعي MEDIUM 16h Global general قطاع التكنولوجيا والذكاء الاصطناعي HIGH 17h Global vulnerability التعليم العالي CRITICAL 1d Global data_breach القطاع الحكومي HIGH 1d Global supply_chain تطوير البرمجيات والمجتمعات مفتوحة المصدر CRITICAL 1d Global insider التعليم HIGH 2h Global supply_chain تطوير البرمجيات والتكنولوجيا HIGH 7h Global apt الحكومة والبنية التحتية الحرجة CRITICAL 9h Global vulnerability برامج المؤسسات / تحليل البيانات CRITICAL 10h Global vulnerability الذكاء الاصطناعي والتكنولوجيا HIGH 13h Global general قطاع التكنولوجيا والذكاء الاصطناعي MEDIUM 16h Global general قطاع التكنولوجيا والذكاء الاصطناعي HIGH 17h Global vulnerability التعليم العالي CRITICAL 1d Global data_breach القطاع الحكومي HIGH 1d Global supply_chain تطوير البرمجيات والمجتمعات مفتوحة المصدر CRITICAL 1d Global insider التعليم HIGH 2h Global supply_chain تطوير البرمجيات والتكنولوجيا HIGH 7h Global apt الحكومة والبنية التحتية الحرجة CRITICAL 9h Global vulnerability برامج المؤسسات / تحليل البيانات CRITICAL 10h Global vulnerability الذكاء الاصطناعي والتكنولوجيا HIGH 13h Global general قطاع التكنولوجيا والذكاء الاصطناعي MEDIUM 16h Global general قطاع التكنولوجيا والذكاء الاصطناعي HIGH 17h Global vulnerability التعليم العالي CRITICAL 1d Global data_breach القطاع الحكومي HIGH 1d Global supply_chain تطوير البرمجيات والمجتمعات مفتوحة المصدر CRITICAL 1d
الثغرات

CVE-2025-14343

مرتفع
Improper Neutralization of Input During Web Page Generation (XSS or 'Cross-site Scripting') vulnerability in Dokuzsoft Technology Ltd. E-Commerce Product allows Reflected XSS.This issue affects E-Comm
CWE-79 — نوع الضعف
نُشر: Feb 26, 2026  ·  آخر تحديث: Mar 5, 2026  ·  المصدر: NVD
CVSS v3
7.6
🔗 NVD الرسمي
📄 الوصف (الإنجليزية)

Improper Neutralization of Input During Web Page Generation (XSS or 'Cross-site Scripting') vulnerability in Dokuzsoft Technology Ltd. E-Commerce Product allows Reflected XSS.This issue affects E-Commerce Product: through 10122025.

🤖 ملخص AI

A reflected Cross-Site Scripting (XSS) vulnerability exists in Dokuzsoft Technology Ltd. E-Commerce Product versions through 10122025, allowing attackers to inject malicious scripts into web pages viewed by users. With a CVSS score of 7.6, this vulnerability poses a significant risk to e-commerce platforms operating in Saudi Arabia, potentially compromising customer data, session tokens, and payment information. Immediate patching is critical for organizations utilizing this product.

📄 الوصف (العربية)

🤖 التحليل الذكي آخر تحليل: Apr 29, 2026 22:49
🇸🇦 التأثير على المملكة العربية السعودية
This vulnerability primarily impacts Saudi e-commerce organizations, online retailers, and digital marketplace operators. High-risk sectors include: (1) E-commerce platforms and online retailers subject to SAMA payment card industry requirements; (2) Government e-procurement systems and digital service portals under NCA oversight; (3) Healthcare providers offering online services; (4) Telecommunications companies with e-commerce components (STC, Mobily, Zain). The reflected XSS vulnerability could enable credential theft, unauthorized transactions, malware distribution, and customer data exfiltration, directly violating SAMA CSF and NCA ECC compliance requirements.
🏢 القطاعات السعودية المتأثرة
E-commerce and Online Retail Banking and Financial Services Government and Public Sector Healthcare Telecommunications Digital Marketplace Operators
⚖️ درجة المخاطر السعودية (AI)
7.8
/ 10.0
🔧 Remediation Steps (English)
IMMEDIATE ACTIONS:

1. Identify all instances of Dokuzsoft E-Commerce Product in your environment and document version numbers

2. Isolate affected systems from production if critical business impact is acceptable

3. Implement Web Application Firewall (WAF) rules to block common XSS payloads (script tags, event handlers, javascript: protocol)

4. Enable HTTP-only and Secure flags on all session cookies to prevent JavaScript access



PATCHING:

1. Apply the latest security patch from Dokuzsoft Technology Ltd immediately

2. Test patches in staging environment before production deployment

3. Prioritize patching for customer-facing e-commerce systems handling payment data



COMPENSATING CONTROLS (if patch unavailable):

1. Implement input validation: whitelist allowed characters, reject special characters in user inputs

2. Apply output encoding: HTML-encode all user-supplied data before rendering in web pages

3. Deploy Content Security Policy (CSP) headers to restrict script execution sources

4. Implement X-XSS-Protection headers and X-Content-Type-Options: nosniff



DETECTION:

1. Monitor web server logs for suspicious URL parameters containing script tags, event handlers, or encoded payloads

2. Alert on requests containing: <script>, onerror=, onload=, javascript:, data:text/html

3. Implement SIEM rules to detect multiple XSS attempts from single source IP

4. Review access logs for unusual referrer patterns or automated scanning tools
🔧 خطوات المعالجة (العربية)
الإجراءات الفورية:

1. تحديد جميع حالات منتج Dokuzsoft للتجارة الإلكترونية في بيئتك وتوثيق أرقام الإصدارات

2. عزل الأنظمة المتأثرة عن الإنتاج إذا كان التأثير على الأعمال حرجاً

3. تطبيق قواعد جدار حماية تطبيقات الويب (WAF) لحجب حمولات XSS الشائعة (علامات البرنامج النصي، معالجات الأحداث، بروتوكول javascript)

4. تفعيل أعلام HTTP-only و Secure على جميع ملفات تعريف الجلسة لمنع وصول JavaScript



التصحيح:

1. تطبيق أحدث تصحيح أمني من Dokuzsoft Technology Ltd فوراً

2. اختبار التصحيحات في بيئة التجهيز قبل نشرها في الإنتاج

3. إعطاء الأولوية لتصحيح الأنظمة المواجهة للعملاء التي تتعامل مع بيانات الدفع



الضوابط البديلة (إذا لم يكن التصحيح متاحاً):

1. تطبيق التحقق من الإدخال: إدراج الأحرف المسموحة في القائمة البيضاء، رفض الأحرف الخاصة في مدخلات المستخدم

2. تطبيق ترميز الإخراج: ترميز HTML لجميع البيانات المقدمة من المستخدم قبل عرضها في صفحات الويب

3. نشر رؤوس سياسة أمان المحتوى (CSP) لتقييد مصادر تنفيذ البرامج النصية

4. تطبيق رؤوس X-XSS-Protection و X-Content-Type-Options: nosniff



الكشف:

1. مراقبة سجلات خادم الويب للمعاملات المريبة التي تحتوي على علامات البرنامج النصي أو معالجات الأحداث أو الحمولات المشفرة

2. التنبيه على الطلبات التي تحتوي على: <script>، onerror=، onload=، javascript:، data:text/html

3. تطبيق قواعد SIEM للكشف عن محاولات XSS المتعددة من عنوان IP واحد

4. مراجعة سجلات الوصول للأنماط المرجعية غير العادية أو أدوات المسح الآلي
📋 خريطة الامتثال التنظيمي
🟢 NCA ECC 2024
ECC 2024 A.14.2.1 - Information security requirements for supplier relationships ECC 2024 A.14.2.5 - Addressing information security in supplier agreements ECC 2024 A.5.23 - Web application security and input validation controls
🔵 SAMA CSF
SAMA CSF 1.1 - Governance and Risk Management (vulnerability management) SAMA CSF 2.2 - Protection and Prevention (secure development and coding practices) SAMA CSF 2.3 - Detection and Monitoring (web application monitoring)
🟡 ISO 27001:2022
ISO 27001:2022 A.8.1 - Organizational controls for information security ISO 27001:2022 A.8.2.3 - Segregation of development, test and production environments ISO 27001:2022 A.8.3.4 - Development and change management of information systems
🟣 PCI DSS v4.0.1
PCI DSS 6.5.1 - Injection flaws prevention PCI DSS 6.5.7 - Cross-site scripting (XSS) prevention PCI DSS 6.2 - Security patches and updates
📊 CVSS Score
7.6
/ 10.0 — مرتفع
📊 CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:L/I:L/A:H
Attack VectorN — None / Network
Attack ComplexityL — Low / Local
Privileges RequiredN — None / Network
User InteractionR — Required
ScopeU — Unchanged
ConfidentialityL — Low / Local
IntegrityL — Low / Local
AvailabilityH — High
📋 حقائق سريعة
الخطورة مرتفع
CVSS Score7.6
CWECWE-79
اختراق متاح لا
تصحيح متاح ✓ نعم
تاريخ النشر 2026-02-26
المصدر nvd
المشاهدات 6
🇸🇦 درجة المخاطر السعودية
7.8
/ 10.0 — مخاطر السعودية
أولوية: HIGH
🏷️ الوسوم
CWE-79
⚡ إجراءات
🔗 NVD Official Page ⚡ Exploit-DB Search 🐙 GitHub PoC Search 🎯 MITRE ATT&CK 📊 CVE Details
مشاركة ثغرة
LinkedIn X / Twitter WhatsApp Telegram

💬 التعليقات

0
جارٍ التحميل
📣 وجدت هذا مفيداً؟
شاركه مع شبكة الأمن السيبراني الخاصة بك
in لينكدإن 𝕏 تويتر 💬 واتساب ✈ تليجرام
🍪 إعدادات الخصوصية
سيزو للاستشارات — متوافق مع نظام حماية البيانات الشخصية السعودي (PDPL)
نستخدم ملفات تعريف الارتباط والتقنيات المشابهة لتوفير أفضل تجربة على منصتنا. يمكنك اختيار الأنواع التي تقبلها.
🔒
ملفات ضرورية Always On
مطلوبة لعمل الموقع بشكل صحيح. لا يمكن تعطيلها.
📋 الجلسات، CSRF، المصادقة، تفضيلات اللغة
📊
ملفات التحليلات
تساعدنا في فهم كيفية استخدام الزوار للموقع وتحسين الأداء.
📋 إحصائيات الصفحات، مدة الجلسة، مصدر الزيارة
⚙️
ملفات وظيفية
تتيح ميزات محسنة مثل تخصيص المحتوى والتفضيلات.
📋 السمة المظلمة/الفاتحة، حجم الخط، لوحات التحكم المخصصة
📣
ملفات تسويقية
تُستخدم لتقديم محتوى وإعلانات ذات صلة باهتماماتك.
📋 تتبع الحملات، إعادة الاستهداف، تحليلات وسائل التواصل
سياسة الخصوصية →
مساعد CISO الذكي
اسألني أي شيء · وثائق · دعم
🔐

عرّفنا بنفسك

أدخل بياناتك للوصول إلى المساعد الكامل

معلوماتك آمنة ولن تُشارك
💬
المساعد السيبراني
متصل — يرد في ثوانٍ
5 / 5
🔐 تحقق من هويتك

أدخل بريدك الإلكتروني لإرسال رمز تحقق قبل إرسال طلب الدعم.

Enter للإرسال · / للأوامر 0 / 2000
CISO AI · مدعوم بالذكاء الاصطناعي
✦ استطلاع سريع ساعدنا في تحسين منصة سيزو للاستشارات ملاحظاتك تشكّل مستقبل منصتنا — لا تستغرق سوى دقيقتين.
⚠ يرجى الإجابة على هذا السؤال للمتابعة

كيف تقيّم تجربتك العامة مع منصتنا؟

قيّم من 1 (ضعيف) إلى 5 (ممتاز)

🎉
شكراً جزيلاً!
تم تسجيل إجابتك بنجاح.