📧 info@ciso.sa | 📱 +966550939344 | الرياض، المملكة العربية السعودية
عن المنصة الأسئلة الشائعة اتصل بنا شروط الخدمة سياسة الخصوصية 🌐 English
🔐

مرحباً — سجّل دخولك أو أنشئ حساباً للوصول الكامل.

🔑 دخول ✨ حساب جديد
🌐 EN تسجيل الدخول إنشاء حساب
🔧 صيانة مجدولة — السبت 2:00-4:00 صباحاً. قد تكون بعض الميزات غير متاحة مؤقتاً.    ●   
💎
خطة Pro بخصم 50% احصل على جميع ميزات AI والتقارير غير المحدودة والدعم ذي الأولوية. الترقية الآن
مركز البحث
ESC للإغلاق
تنقل فتح Ctrl+K بحث
CISO Consulting
Global vulnerability التعليم العالي CRITICAL 9h Global data_breach القطاع الحكومي HIGH 10h Global supply_chain تطوير البرمجيات والمجتمعات مفتوحة المصدر CRITICAL 10h Global malware تطوير البرمجيات CRITICAL 10h Global phishing قطاعات متعددة HIGH 10h Global vulnerability تطبيقات الويب CRITICAL 11h Global apt البنية التحتية الحرجة CRITICAL 11h Global ransomware قطاعات متعددة CRITICAL 11h Global supply_chain تطوير البرمجيات، البنية التحتية لتكنولوجيا المعلومات، التكنولوجيا CRITICAL 12h Global vulnerability,data_breach,general التكنولوجيا، أنظمة التحكم الصناعي، الاتصالات HIGH 13h Global vulnerability التعليم العالي CRITICAL 9h Global data_breach القطاع الحكومي HIGH 10h Global supply_chain تطوير البرمجيات والمجتمعات مفتوحة المصدر CRITICAL 10h Global malware تطوير البرمجيات CRITICAL 10h Global phishing قطاعات متعددة HIGH 10h Global vulnerability تطبيقات الويب CRITICAL 11h Global apt البنية التحتية الحرجة CRITICAL 11h Global ransomware قطاعات متعددة CRITICAL 11h Global supply_chain تطوير البرمجيات، البنية التحتية لتكنولوجيا المعلومات، التكنولوجيا CRITICAL 12h Global vulnerability,data_breach,general التكنولوجيا، أنظمة التحكم الصناعي، الاتصالات HIGH 13h Global vulnerability التعليم العالي CRITICAL 9h Global data_breach القطاع الحكومي HIGH 10h Global supply_chain تطوير البرمجيات والمجتمعات مفتوحة المصدر CRITICAL 10h Global malware تطوير البرمجيات CRITICAL 10h Global phishing قطاعات متعددة HIGH 10h Global vulnerability تطبيقات الويب CRITICAL 11h Global apt البنية التحتية الحرجة CRITICAL 11h Global ransomware قطاعات متعددة CRITICAL 11h Global supply_chain تطوير البرمجيات، البنية التحتية لتكنولوجيا المعلومات، التكنولوجيا CRITICAL 12h Global vulnerability,data_breach,general التكنولوجيا، أنظمة التحكم الصناعي، الاتصالات HIGH 13h
الثغرات

CVE-2025-14576

مرتفع
CWE-20 — نوع الضعف
نُشر: Apr 30, 2026  ·  آخر تحديث: May 7, 2026  ·  المصدر: NVD
CVSS v3
7.8
🔗 NVD الرسمي
📄 الوصف (الإنجليزية)

Insufficient validation of node IDs in Qt SVG module allows arbitrary QML/JavaScript code injection when loading malicious SVG files through the VectorImage component in Qt Quick. While QML execution is typically more restricted than native code execution, this could still lead to denial of service, information disclosure, or other impacts depending on the application's privilege level and data access.

🤖 ملخص AI

CVE-2025-14576 is a high-severity vulnerability in Qt's SVG module that allows arbitrary QML/JavaScript code injection through malicious SVG files loaded via the VectorImage component. While QML execution is sandboxed compared to native code, successful exploitation could enable denial of service, information disclosure, or privilege escalation depending on application context. This vulnerability affects Qt Quick applications across multiple platforms and requires immediate patching.

📄 الوصف (العربية)

🤖 التحليل الذكي آخر تحليل: May 5, 2026 07:37
🇸🇦 التأثير على المملكة العربية السعودية
Saudi organizations using Qt-based applications face significant risk, particularly in: (1) Banking/SAMA-regulated fintech platforms using Qt for mobile/desktop interfaces; (2) Government agencies (NCA, CITC) deploying Qt applications for administrative systems; (3) Healthcare providers using Qt-based medical imaging or management systems; (4) Energy sector (ARAMCO, utilities) with Qt-based SCADA/industrial control interfaces; (5) Telecommunications (STC, Mobily) using Qt for network management tools. SVG file processing in customer-facing applications (document viewers, design tools, web browsers) poses the highest risk for exploitation.
🏢 القطاعات السعودية المتأثرة
Banking and Financial Services Government and Public Administration Healthcare and Medical Services Energy and Utilities Telecommunications Software Development E-commerce and Retail Education
⚖️ درجة المخاطر السعودية (AI)
7.2
/ 10.0
🔧 Remediation Steps (English)
IMMEDIATE ACTIONS:

1. Identify all Qt applications in your environment using QtDeclarative/Qt Quick with SVG/VectorImage components

2. Disable SVG file uploads/processing from untrusted sources immediately

3. Implement strict file type validation and reject SVG files if not essential

4. Apply input sanitization to any SVG content before rendering



PATCHING:

1. Update Qt framework to patched version (check Qt release notes for specific version numbers)

2. Recompile all dependent applications with patched Qt libraries

3. Test thoroughly in staging environment before production deployment

4. Prioritize patching for customer-facing and internet-exposed applications



COMPENSATING CONTROLS (if patching delayed):

1. Implement network-level controls to restrict SVG file sources

2. Run Qt applications with minimal required privileges and restricted file system access

3. Use application sandboxing/containerization to limit QML code execution scope

4. Monitor for suspicious SVG file uploads and QML execution anomalies

5. Disable VectorImage component if not actively used



DETECTION:

1. Monitor for SVG file uploads with embedded script tags or unusual node IDs

2. Log all QML code execution and flag unexpected dynamic code generation

3. Alert on VectorImage component loading from non-whitelisted sources

4. Track Qt application crashes or resource exhaustion (DoS indicators)
🔧 خطوات المعالجة (العربية)
الإجراءات الفورية:

1. حدد جميع تطبيقات Qt في بيئتك التي تستخدم QtDeclarative/Qt Quick مع مكونات SVG/VectorImage

2. عطّل تحميل/معالجة ملفات SVG من مصادر غير موثوقة فوراً

3. طبّق التحقق الصارم من نوع الملف وارفض ملفات SVG إذا لم تكن ضرورية

4. طبّق تنظيف المدخلات على أي محتوى SVG قبل العرض



التصحيح:

1. حدّث إطار عمل Qt إلى الإصدار المصحح (تحقق من ملاحظات إصدار Qt للإصدارات المحددة)

2. أعد ترجمة جميع التطبيقات التابعة باستخدام مكتبات Qt المصححة

3. اختبر بدقة في بيئة التجريب قبل نشر الإنتاج

4. أولوية التصحيح للتطبيقات المواجهة للعملاء والمكشوفة على الإنترنت



الضوابط البديلة (إذا تأخر التصحيح):

1. طبّق عناصر تحكم على مستوى الشبكة لتقييد مصادر ملفات SVG

2. قم بتشغيل تطبيقات Qt بأقل امتيازات مطلوبة وإمكانية وصول محدودة لنظام الملفات

3. استخدم الحماية بالرمل/الحاويات لتحديد نطاق تنفيذ كود QML

4. راقب تحميلات ملفات SVG المريبة وشذوذ تنفيذ QML

5. عطّل مكون VectorImage إذا لم يكن قيد الاستخدام النشط



الكشف:

1. راقب تحميلات ملفات SVG التي تحتوي على علامات نصية مدمجة أو معرفات عقدة غير عادية

2. سجّل جميع عمليات تنفيذ كود QML وعلّم على توليد الكود الديناميكي غير المتوقع

3. نبّه عند تحميل مكون VectorImage من مصادر غير مدرجة في القائمة البيضاء

4. تتبع أعطال تطبيقات Qt أو استنزاف الموارد (مؤشرات رفض الخدمة)
📋 خريطة الامتثال التنظيمي
🟢 NCA ECC 2024
ECC 2024 A.5.1.1 - Information security policies and procedures ECC 2024 A.5.2.1 - Access control and user management ECC 2024 A.6.1.1 - Cryptography and secure coding practices ECC 2024 A.7.1.1 - Malware protection and vulnerability management ECC 2024 A.8.1.1 - Incident detection and response
🔵 SAMA CSF
SAMA CSF ID.BE-1 - Business Environment SAMA CSF PR.DS-6 - Data Security and Protection SAMA CSF PR.IP-1 - Security Policy and Process SAMA CSF DE.CM-1 - Detection and Analysis SAMA CSF RS.MI-1 - Incident Response and Recovery
🟡 ISO 27001:2022
ISO 27001:2022 A.5.1 - Policies for information security ISO 27001:2022 A.6.1 - Organization of information security ISO 27001:2022 A.8.1 - Asset management ISO 27001:2022 A.12.6 - Technical vulnerability management ISO 27001:2022 A.14.2 - Information security requirements in development
🟣 PCI DSS v4.0.1
PCI DSS 6.2 - Security patches and updates PCI DSS 6.5.1 - Injection flaws prevention PCI DSS 11.2 - Vulnerability scanning and assessment
📦 المنتجات المتأثرة 2 منتج
qt:qtdeclarative
qt:qtdeclarative
📊 CVSS Score
7.8
/ 10.0 — مرتفع
📊 CVSS Vector
CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H
Attack VectorL — Low / Local
Attack ComplexityL — Low / Local
Privileges RequiredN — None / Network
User InteractionR — Required
ScopeU — Unchanged
ConfidentialityH — High
IntegrityH — High
AvailabilityH — High
📋 حقائق سريعة
الخطورة مرتفع
CVSS Score7.8
CWECWE-20
EPSS0.01%
اختراق متاح لا
تصحيح متاح ✓ نعم
تاريخ النشر 2026-04-30
المصدر nvd
المشاهدات 1
🇸🇦 درجة المخاطر السعودية
7.2
/ 10.0 — مخاطر السعودية
أولوية: HIGH
🏷️ الوسوم
patch-available CWE-20
⚡ إجراءات
🔗 NVD Official Page ⚡ Exploit-DB Search 🐙 GitHub PoC Search 🎯 MITRE ATT&CK 📊 CVE Details
مشاركة ثغرة
LinkedIn X / Twitter WhatsApp Telegram

💬 التعليقات

0
جارٍ التحميل
📣 وجدت هذا مفيداً؟
شاركه مع شبكة الأمن السيبراني الخاصة بك
in لينكدإن 𝕏 تويتر 💬 واتساب ✈ تليجرام
🍪 إعدادات الخصوصية
سيزو للاستشارات — متوافق مع نظام حماية البيانات الشخصية السعودي (PDPL)
نستخدم ملفات تعريف الارتباط والتقنيات المشابهة لتوفير أفضل تجربة على منصتنا. يمكنك اختيار الأنواع التي تقبلها.
🔒
ملفات ضرورية Always On
مطلوبة لعمل الموقع بشكل صحيح. لا يمكن تعطيلها.
📋 الجلسات، CSRF، المصادقة، تفضيلات اللغة
📊
ملفات التحليلات
تساعدنا في فهم كيفية استخدام الزوار للموقع وتحسين الأداء.
📋 إحصائيات الصفحات، مدة الجلسة، مصدر الزيارة
⚙️
ملفات وظيفية
تتيح ميزات محسنة مثل تخصيص المحتوى والتفضيلات.
📋 السمة المظلمة/الفاتحة، حجم الخط، لوحات التحكم المخصصة
📣
ملفات تسويقية
تُستخدم لتقديم محتوى وإعلانات ذات صلة باهتماماتك.
📋 تتبع الحملات، إعادة الاستهداف، تحليلات وسائل التواصل
سياسة الخصوصية →
مساعد CISO الذكي
اسألني أي شيء · وثائق · دعم
🔐

عرّفنا بنفسك

أدخل بياناتك للوصول إلى المساعد الكامل

معلوماتك آمنة ولن تُشارك
💬
المساعد السيبراني
متصل — يرد في ثوانٍ
5 / 5
🔐 تحقق من هويتك

أدخل بريدك الإلكتروني لإرسال رمز تحقق قبل إرسال طلب الدعم.

Enter للإرسال · / للأوامر 0 / 2000
CISO AI · مدعوم بالذكاء الاصطناعي
✦ استطلاع سريع ساعدنا في تحسين منصة سيزو للاستشارات ملاحظاتك تشكّل مستقبل منصتنا — لا تستغرق سوى دقيقتين.
⚠ يرجى الإجابة على هذا السؤال للمتابعة

كيف تقيّم تجربتك العامة مع منصتنا؟

قيّم من 1 (ضعيف) إلى 5 (ممتاز)

🎉
شكراً جزيلاً!
تم تسجيل إجابتك بنجاح.