📧 info@ciso.sa | 📱 +966550939344 | الرياض، المملكة العربية السعودية
عن المنصة الأسئلة الشائعة اتصل بنا شروط الخدمة سياسة الخصوصية 🌐 English
🔐

مرحباً — سجّل دخولك أو أنشئ حساباً للوصول الكامل.

🔑 دخول ✨ حساب جديد
🌐 EN تسجيل الدخول إنشاء حساب
🔧 صيانة مجدولة — السبت 2:00-4:00 صباحاً. قد تكون بعض الميزات غير متاحة مؤقتاً.    ●   
💎
خطة Pro بخصم 50% احصل على جميع ميزات AI والتقارير غير المحدودة والدعم ذي الأولوية. الترقية الآن
مركز البحث
ESC للإغلاق
تنقل فتح Ctrl+K بحث
CISO Consulting
Global ransomware قطاعات متعددة CRITICAL 20m Global supply_chain تطوير البرمجيات، البنية التحتية لتكنولوجيا المعلومات، التكنولوجيا CRITICAL 1h Global vulnerability,data_breach,general التكنولوجيا، أنظمة التحكم الصناعي، الاتصالات HIGH 1h Global general الإلكترونيات الاستهلاكية والبيع بالتجزئة MEDIUM 4h Global supply_chain تطوير البرمجيات والتكنولوجيا HIGH 4h Global general الذكاء الاصطناعي وتطوير البرمجيات LOW 5h Global general الذكاء الاصطناعي والأمن السيبراني MEDIUM 5h Global malware تطوير البرمجيات / التكنولوجيا HIGH 6h Global vulnerability تكنولوجيا المعلومات HIGH 6h Global data_breach قطاع المياه والبنية التحتية الحساسة HIGH 6h Global ransomware قطاعات متعددة CRITICAL 20m Global supply_chain تطوير البرمجيات، البنية التحتية لتكنولوجيا المعلومات، التكنولوجيا CRITICAL 1h Global vulnerability,data_breach,general التكنولوجيا، أنظمة التحكم الصناعي، الاتصالات HIGH 1h Global general الإلكترونيات الاستهلاكية والبيع بالتجزئة MEDIUM 4h Global supply_chain تطوير البرمجيات والتكنولوجيا HIGH 4h Global general الذكاء الاصطناعي وتطوير البرمجيات LOW 5h Global general الذكاء الاصطناعي والأمن السيبراني MEDIUM 5h Global malware تطوير البرمجيات / التكنولوجيا HIGH 6h Global vulnerability تكنولوجيا المعلومات HIGH 6h Global data_breach قطاع المياه والبنية التحتية الحساسة HIGH 6h Global ransomware قطاعات متعددة CRITICAL 20m Global supply_chain تطوير البرمجيات، البنية التحتية لتكنولوجيا المعلومات، التكنولوجيا CRITICAL 1h Global vulnerability,data_breach,general التكنولوجيا، أنظمة التحكم الصناعي، الاتصالات HIGH 1h Global general الإلكترونيات الاستهلاكية والبيع بالتجزئة MEDIUM 4h Global supply_chain تطوير البرمجيات والتكنولوجيا HIGH 4h Global general الذكاء الاصطناعي وتطوير البرمجيات LOW 5h Global general الذكاء الاصطناعي والأمن السيبراني MEDIUM 5h Global malware تطوير البرمجيات / التكنولوجيا HIGH 6h Global vulnerability تكنولوجيا المعلومات HIGH 6h Global data_breach قطاع المياه والبنية التحتية الحساسة HIGH 6h
الثغرات

CVE-2025-14726

متوسط
CWE-200 — نوع الضعف
نُشر: May 2, 2026  ·  آخر تحديث: May 5, 2026  ·  المصدر: NVD
CVSS v3
6.5
🔗 NVD الرسمي
📄 الوصف (الإنجليزية)

The Widgets for Social Photo Feed plugin for WordPress is vulnerable to unauthorized access of data and modification of data due to a missing capability check on the '/trustindex_feed_hook_instagram/troubleshooting' and '/trustindex_feed_hook_instagram/submit-data' REST API endpoints in all versions up to, and including, 1.8. This makes it possible for unauthenticated attackers to access and update plugin settings.

🤖 ملخص AI

The Widgets for Social Photo Feed WordPress plugin (versions ≤1.8) contains missing capability checks on REST API endpoints, allowing unauthenticated attackers to access and modify plugin settings. This vulnerability affects WordPress installations used by Saudi organizations for social media integration and could lead to unauthorized data access and configuration tampering. With no patch currently available, immediate mitigation is required for affected deployments.

📄 الوصف (العربية)

🤖 التحليل الذكي آخر تحليل: May 11, 2026 01:03
🇸🇦 التأثير على المملكة العربية السعودية
This vulnerability primarily impacts Saudi organizations using WordPress for web presence, particularly: (1) Media and Publishing sector — news outlets and content platforms using social feed widgets; (2) E-commerce and Retail — businesses integrating Instagram feeds for product promotion; (3) Tourism and Hospitality — hotels and travel companies showcasing social content; (4) Government and Public Sector — agencies with public-facing WordPress sites; (5) Marketing and Advertising agencies serving Saudi clients. The vulnerability allows attackers to exfiltrate Instagram feed data, modify plugin configurations, and potentially inject malicious content into social feeds displayed to Saudi audiences.
🏢 القطاعات السعودية المتأثرة
Media and Publishing E-commerce and Retail Tourism and Hospitality Government and Public Sector Marketing and Advertising Financial Services (if using WordPress for customer-facing portals) Healthcare (if using WordPress for patient engagement)
⚖️ درجة المخاطر السعودية (AI)
6.8
/ 10.0
🔧 Remediation Steps (English)
IMMEDIATE ACTIONS:

1. Identify all WordPress installations using Widgets for Social Photo Feed plugin version 1.8 or earlier

2. Disable the plugin immediately if not critical to operations

3. If plugin is required, restrict REST API access via .htaccess or web application firewall rules



COMPENSATING CONTROLS (until patch available):

1. Implement IP whitelisting for REST API endpoints: /trustindex_feed_hook_instagram/troubleshooting and /trustindex_feed_hook_instagram/submit-data

2. Add WAF rules to block unauthenticated POST/GET requests to these endpoints

3. Disable REST API entirely if not required: add 'define('REST_API_ENABLED', false);' to wp-config.php

4. Implement WordPress security headers and disable direct REST API access for non-authenticated users

5. Monitor WordPress user accounts for unauthorized access attempts



DETECTION RULES:

1. Monitor access logs for requests to /wp-json/trustindex_feed_hook_instagram/* endpoints from non-authenticated sessions

2. Alert on any POST requests to /submit-data endpoint without valid WordPress authentication tokens

3. Track changes to plugin settings in WordPress database audit logs

4. Monitor for unusual Instagram feed data exports or modifications



PATCHING STRATEGY:

1. Monitor plugin repository for security update (version 1.9+)

2. Test patch in staging environment before production deployment

3. Plan immediate deployment upon patch availability
🔧 خطوات المعالجة (العربية)
الإجراءات الفورية:

1. تحديد جميع تثبيتات WordPress التي تستخدم مكون Widgets for Social Photo Feed الإصدار 1.8 أو أقدم

2. تعطيل المكون فوراً إذا لم يكن حرجاً للعمليات

3. إذا كان المكون مطلوباً، قيد وصول REST API عبر قواعد .htaccess أو جدار الحماية لتطبيقات الويب



الضوابط التعويضية (حتى توفر التصحيح):

1. تطبيق القائمة البيضاء للعناوين IP لنقاط نهاية REST API: /trustindex_feed_hook_instagram/troubleshooting و /trustindex_feed_hook_instagram/submit-data

2. إضافة قواعد WAF لحظر طلبات POST/GET غير المصرح بها لهذه النقاط النهائية

3. تعطيل REST API بالكامل إذا لم يكن مطلوباً: أضف 'define('REST_API_ENABLED', false);' إلى wp-config.php

4. تطبيق رؤوس أمان WordPress وتعطيل وصول REST API المباشر للمستخدمين غير المصرح لهم

5. مراقبة حسابات مستخدمي WordPress للكشف عن محاولات الوصول غير المصرح بها



قواعد الكشف:

1. مراقبة سجلات الوصول للطلبات إلى نقاط نهاية /wp-json/trustindex_feed_hook_instagram/* من جلسات غير مصرح بها

2. تنبيه على أي طلبات POST إلى نقطة نهاية /submit-data بدون رموز مصادقة WordPress صحيحة

3. تتبع التغييرات على إعدادات المكون في سجلات تدقيق قاعدة بيانات WordPress

4. مراقبة عمليات تصدير أو تعديل بيانات Instagram Feed غير العادية



استراتيجية التصحيح:

1. مراقبة مستودع المكون للحصول على تحديث أمان (الإصدار 1.9+)

2. اختبار التصحيح في بيئة التدريج قبل نشره في الإنتاج

3. التخطيط للنشر الفوري عند توفر التصحيح
📋 خريطة الامتثال التنظيمي
🟢 NCA ECC 2024
ECC 2024 A.5.1.1 - Access Control Policies (missing capability checks) ECC 2024 A.6.1.2 - User Registration and Access Rights Management ECC 2024 A.8.2.1 - User Access Management (unauthenticated access) ECC 2024 A.12.4.1 - Event Logging (REST API access logging required)
🔵 SAMA CSF
SAMA CSF ID.AC-1 - Access Control Policy and Procedures SAMA CSF PR.AC-1 - Processes and procedures for access management SAMA CSF DE.AE-1 - Anomalies and Events Detection SAMA CSF RS.AN-1 - Characterization of Incident
🟡 ISO 27001:2022
ISO 27001:2022 A.5.2 - Information Security Policies ISO 27001:2022 A.8.1 - User Endpoint Devices ISO 27001:2022 A.8.2 - Privileged Access Rights ISO 27001:2022 A.8.3 - Information Access Restriction ISO 27001:2022 A.12.4 - Logging
🟣 PCI DSS v4.0.1
PCI DSS 1.1 - Firewall Configuration Standards (if processing payments) PCI DSS 6.5.10 - Broken Authentication PCI DSS 7.1 - Limit Access to System Components
📊 CVSS Score
6.5
/ 10.0 — متوسط
📊 CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:L/A:L
Attack VectorN — None / Network
Attack ComplexityL — Low / Local
Privileges RequiredN — None / Network
User InteractionN — None / Network
ScopeU — Unchanged
ConfidentialityN — None / Network
IntegrityL — Low / Local
AvailabilityL — Low / Local
📋 حقائق سريعة
الخطورة متوسط
CVSS Score6.5
CWECWE-200
EPSS3.23%
اختراق متاح لا
تصحيح متاح ✗ لا
تاريخ النشر 2026-05-02
المصدر nvd
المشاهدات 1
🇸🇦 درجة المخاطر السعودية
6.8
/ 10.0 — مخاطر السعودية
أولوية: HIGH
🏷️ الوسوم
CWE-200
⚡ إجراءات
🔗 NVD Official Page ⚡ Exploit-DB Search 🐙 GitHub PoC Search 🎯 MITRE ATT&CK 📊 CVE Details
مشاركة ثغرة
LinkedIn X / Twitter WhatsApp Telegram

💬 التعليقات

0
جارٍ التحميل
📣 وجدت هذا مفيداً؟
شاركه مع شبكة الأمن السيبراني الخاصة بك
in لينكدإن 𝕏 تويتر 💬 واتساب ✈ تليجرام
🍪 إعدادات الخصوصية
سيزو للاستشارات — متوافق مع نظام حماية البيانات الشخصية السعودي (PDPL)
نستخدم ملفات تعريف الارتباط والتقنيات المشابهة لتوفير أفضل تجربة على منصتنا. يمكنك اختيار الأنواع التي تقبلها.
🔒
ملفات ضرورية Always On
مطلوبة لعمل الموقع بشكل صحيح. لا يمكن تعطيلها.
📋 الجلسات، CSRF، المصادقة، تفضيلات اللغة
📊
ملفات التحليلات
تساعدنا في فهم كيفية استخدام الزوار للموقع وتحسين الأداء.
📋 إحصائيات الصفحات، مدة الجلسة، مصدر الزيارة
⚙️
ملفات وظيفية
تتيح ميزات محسنة مثل تخصيص المحتوى والتفضيلات.
📋 السمة المظلمة/الفاتحة، حجم الخط، لوحات التحكم المخصصة
📣
ملفات تسويقية
تُستخدم لتقديم محتوى وإعلانات ذات صلة باهتماماتك.
📋 تتبع الحملات، إعادة الاستهداف، تحليلات وسائل التواصل
سياسة الخصوصية →
مساعد CISO الذكي
اسألني أي شيء · وثائق · دعم
🔐

عرّفنا بنفسك

أدخل بياناتك للوصول إلى المساعد الكامل

معلوماتك آمنة ولن تُشارك
💬
المساعد السيبراني
متصل — يرد في ثوانٍ
5 / 5
🔐 تحقق من هويتك

أدخل بريدك الإلكتروني لإرسال رمز تحقق قبل إرسال طلب الدعم.

Enter للإرسال · / للأوامر 0 / 2000
CISO AI · مدعوم بالذكاء الاصطناعي
✦ استطلاع سريع ساعدنا في تحسين منصة سيزو للاستشارات ملاحظاتك تشكّل مستقبل منصتنا — لا تستغرق سوى دقيقتين.
⚠ يرجى الإجابة على هذا السؤال للمتابعة

كيف تقيّم تجربتك العامة مع منصتنا؟

قيّم من 1 (ضعيف) إلى 5 (ممتاز)

🎉
شكراً جزيلاً!
تم تسجيل إجابتك بنجاح.