📧 info@ciso.sa | 📱 +966550939344 | الرياض، المملكة العربية السعودية
عن المنصة الأسئلة الشائعة اتصل بنا شروط الخدمة سياسة الخصوصية 🌐 English
🔐

مرحباً — سجّل دخولك أو أنشئ حساباً للوصول الكامل.

🔑 دخول ✨ حساب جديد
🌐 EN تسجيل الدخول إنشاء حساب
🔧 صيانة مجدولة — السبت 2:00-4:00 صباحاً. قد تكون بعض الميزات غير متاحة مؤقتاً.    ●   
💎
خطة Pro بخصم 50% احصل على جميع ميزات AI والتقارير غير المحدودة والدعم ذي الأولوية. الترقية الآن
مركز البحث
ESC للإغلاق
تنقل فتح Ctrl+K بحث
CISO Consulting
Global vulnerability الذكاء الاصطناعي والتكنولوجيا HIGH 2h Global general قطاع التكنولوجيا والذكاء الاصطناعي MEDIUM 5h Global general قطاع التكنولوجيا والذكاء الاصطناعي HIGH 6h Global vulnerability التعليم العالي CRITICAL 16h Global data_breach القطاع الحكومي HIGH 16h Global supply_chain تطوير البرمجيات والمجتمعات مفتوحة المصدر CRITICAL 16h Global malware تطوير البرمجيات CRITICAL 17h Global phishing قطاعات متعددة HIGH 17h Global vulnerability تطبيقات الويب CRITICAL 18h Global apt البنية التحتية الحرجة CRITICAL 18h Global vulnerability الذكاء الاصطناعي والتكنولوجيا HIGH 2h Global general قطاع التكنولوجيا والذكاء الاصطناعي MEDIUM 5h Global general قطاع التكنولوجيا والذكاء الاصطناعي HIGH 6h Global vulnerability التعليم العالي CRITICAL 16h Global data_breach القطاع الحكومي HIGH 16h Global supply_chain تطوير البرمجيات والمجتمعات مفتوحة المصدر CRITICAL 16h Global malware تطوير البرمجيات CRITICAL 17h Global phishing قطاعات متعددة HIGH 17h Global vulnerability تطبيقات الويب CRITICAL 18h Global apt البنية التحتية الحرجة CRITICAL 18h Global vulnerability الذكاء الاصطناعي والتكنولوجيا HIGH 2h Global general قطاع التكنولوجيا والذكاء الاصطناعي MEDIUM 5h Global general قطاع التكنولوجيا والذكاء الاصطناعي HIGH 6h Global vulnerability التعليم العالي CRITICAL 16h Global data_breach القطاع الحكومي HIGH 16h Global supply_chain تطوير البرمجيات والمجتمعات مفتوحة المصدر CRITICAL 16h Global malware تطوير البرمجيات CRITICAL 17h Global phishing قطاعات متعددة HIGH 17h Global vulnerability تطبيقات الويب CRITICAL 18h Global apt البنية التحتية الحرجة CRITICAL 18h
الثغرات

CVE-2025-68616

مرتفع ⚡ اختراق متاح
WeasyPrint helps web developers to create PDF documents. Prior to version 68.0, a server-side request forgery (SSRF) protection bypass exists in WeasyPrint's `default_url_fetcher`. The vulnerability a
CWE-601 — نوع الضعف
نُشر: Jan 19, 2026  ·  آخر تحديث: Feb 28, 2026  ·  المصدر: NVD
CVSS v3
7.5
🔗 NVD الرسمي
📄 الوصف (الإنجليزية)

WeasyPrint helps web developers to create PDF documents. Prior to version 68.0, a server-side request forgery (SSRF) protection bypass exists in WeasyPrint's `default_url_fetcher`. The vulnerability allows attackers to access internal network resources (such as `localhost` services or cloud metadata endpoints) even when a developer has implemented a custom `url_fetcher` to block such access. This occurs because the underlying `urllib` library follows HTTP redirects automatically without re-validating the new destination against the developer's security policy. Version 68.0 contains a patch for the issue.

🤖 ملخص AI

WeasyPrint versions prior to 68.0 contain an SSRF protection bypass vulnerability (CVE-2025-68616) that allows attackers to access internal network resources and cloud metadata endpoints through HTTP redirect chains, circumventing developer-implemented security controls. With a CVSS score of 7.5 and publicly available exploits, this poses significant risk to Saudi organizations using WeasyPrint for PDF generation in web applications. Immediate patching to version 68.0 or later is critical to prevent unauthorized access to sensitive internal services.

📄 الوصف (العربية)

🤖 التحليل الذكي آخر تحليل: May 2, 2026 15:48
🇸🇦 التأثير على المملكة العربية السعودية
Saudi organizations in financial services (banking sector under SAMA oversight), government agencies (NCA, CITC), healthcare institutions, and energy sector (ARAMCO, downstream companies) are at elevated risk if they use WeasyPrint for PDF generation in customer-facing or internal applications. The vulnerability could enable attackers to access internal APIs, cloud metadata services (AWS/Azure), SAMA banking networks, or government internal systems. E-commerce platforms and digital payment processors are particularly vulnerable as they commonly use PDF generation for invoices, reports, and documentation. The SSRF bypass could lead to lateral movement within Saudi critical infrastructure networks.
🏢 القطاعات السعودية المتأثرة
Banking and Financial Services Government and Public Administration Healthcare and Medical Services Energy and Utilities Telecommunications E-commerce and Retail Insurance Education
⚖️ درجة المخاطر السعودية (AI)
8.2
/ 10.0
🔧 Remediation Steps (English)
IMMEDIATE ACTIONS:

1. Identify all instances of WeasyPrint in your environment using software inventory tools and dependency scanners (pip list, requirements.txt, package.json for Node.js wrappers)

2. Prioritize applications that process untrusted URLs or user-supplied content for PDF generation

3. Implement network segmentation to restrict outbound connections from PDF generation services to internal networks



PATCHING:

1. Upgrade WeasyPrint to version 68.0 or later immediately: pip install --upgrade weasyprint>=68.0

2. Test patches in development/staging environments before production deployment

3. Verify patch installation: python -c "import weasyprint; print(weasyprint.__version__)"



COMPENSATING CONTROLS (if immediate patching not possible):

1. Implement strict URL validation using allowlist approach - only permit specific domains/protocols

2. Disable HTTP redirects in custom url_fetcher implementations by catching redirect responses

3. Use network firewall rules to block PDF generation services from accessing internal IP ranges (10.0.0.0/8, 172.16.0.0/12, 192.168.0.0/16, 127.0.0.1)

4. Implement WAF rules to detect SSRF patterns in URL parameters

5. Run PDF generation services in isolated containers with minimal network access



DETECTION:

1. Monitor for HTTP 301/302/307/308 responses in PDF generation logs

2. Alert on requests to internal IP addresses or localhost from WeasyPrint processes

3. Log all URLs processed by WeasyPrint and analyze for redirect chains

4. Monitor cloud metadata endpoints (169.254.169.254) access attempts

5. Implement IDS/IPS signatures for SSRF redirect exploitation patterns
🔧 خطوات المعالجة (العربية)
الإجراءات الفورية:

1. تحديد جميع حالات WeasyPrint في بيئتك باستخدام أدوات جرد البرامج وماسحات التبعيات (pip list, requirements.txt)

2. إعطاء الأولوية للتطبيقات التي تعالج عناوين URL غير الموثوقة أو المحتوى المزود من قبل المستخدم لإنشاء ملفات PDF

3. تنفيذ تقسيم الشبكة لتقييد الاتصالات الصادرة من خدمات إنشاء PDF إلى الشبكات الداخلية



التصحيح:

1. ترقية WeasyPrint إلى الإصدار 68.0 أو أحدث فوراً: pip install --upgrade weasyprint>=68.0

2. اختبار التصحيحات في بيئات التطوير/الاختبار قبل نشرها في الإنتاج

3. التحقق من تثبيت التصحيح: python -c "import weasyprint; print(weasyprint.__version__)"



عناصر التحكم التعويضية (إذا لم يكن التصحيح الفوري ممكناً):

1. تنفيذ التحقق الصارم من عناوين URL باستخدام نهج القائمة البيضاء - السماح فقط بنطاقات/بروتوكولات محددة

2. تعطيل إعادة التوجيه HTTP في تطبيقات url_fetcher المخصصة بالتقاط استجابات إعادة التوجيه

3. استخدام قواعد جدار الحماية للشبكة لحظر خدمات إنشاء PDF من الوصول إلى نطاقات IP الداخلية

4. تنفيذ قواعد WAF للكشف عن أنماط SSRF في معاملات URL

5. تشغيل خدمات إنشاء PDF في حاويات معزولة مع الحد الأدنى من الوصول إلى الشبكة



الكشف:

1. مراقبة استجابات HTTP 301/302/307/308 في سجلات إنشاء PDF

2. التنبيه على الطلبات إلى عناوين IP الداخلية أو localhost من عمليات WeasyPrint

3. تسجيل جميع عناوين URL التي تمت معالجتها بواسطة WeasyPrint وتحليلها بحثاً عن سلاسل إعادة التوجيه

4. مراقبة محاولات الوصول إلى نقاط نهاية بيانات السحابة

5. تنفيذ توقيعات IDS/IPS للكشف عن أنماط استغلال إعادة التوجيه SSRF
📋 خريطة الامتثال التنظيمي
🟢 NCA ECC 2024
ECC 2024 A.14.2.1 - Information security requirements for supplier relationships ECC 2024 A.14.2.5 - Addressing information security in supplier agreements ECC 2024 A.8.1.1 - User endpoint devices ECC 2024 A.8.2.3 - Segregation of networks
🔵 SAMA CSF
SAMA CSF ID.BE-1 - Business objectives and strategies SAMA CSF PR.AC-3 - Access control and user rights management SAMA CSF PR.DS-1 - Data security and protection SAMA CSF DE.CM-1 - Detection and analysis
🟡 ISO 27001:2022
ISO 27001:2022 A.5.1 - Policies for information security ISO 27001:2022 A.8.1 - User endpoint devices ISO 27001:2022 A.8.2 - Privileged access rights ISO 27001:2022 A.8.3 - Information access restriction ISO 27001:2022 A.13.1 - Network security
🟣 PCI DSS v4.0.1
PCI DSS 6.2 - Security patches and updates PCI DSS 6.5.1 - Injection flaws PCI DSS 6.5.10 - Broken authentication PCI DSS 11.3 - Penetration testing
📦 المنتجات المتأثرة 1 منتج
kozea:weasyprint
📊 CVSS Score
7.5
/ 10.0 — مرتفع
📊 CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N
Attack VectorN — None / Network
Attack ComplexityL — Low / Local
Privileges RequiredN — None / Network
User InteractionN — None / Network
ScopeU — Unchanged
ConfidentialityH — High
IntegrityN — None / Network
AvailabilityN — None / Network
📋 حقائق سريعة
الخطورة مرتفع
CVSS Score7.5
CWECWE-601
EPSS0.04%
اختراق متاح ✓ نعم
تصحيح متاح ✓ نعم
تاريخ النشر 2026-01-19
المصدر nvd
المشاهدات 6
🇸🇦 درجة المخاطر السعودية
8.2
/ 10.0 — مخاطر السعودية
أولوية: CRITICAL
🏷️ الوسوم
exploit-available patch-available CWE-601
⚡ إجراءات
🔗 NVD Official Page ⚡ Exploit-DB Search 🐙 GitHub PoC Search 🎯 MITRE ATT&CK 📊 CVE Details
مشاركة ثغرة
LinkedIn X / Twitter WhatsApp Telegram

💬 التعليقات

0
جارٍ التحميل
📣 وجدت هذا مفيداً؟
شاركه مع شبكة الأمن السيبراني الخاصة بك
in لينكدإن 𝕏 تويتر 💬 واتساب ✈ تليجرام
🍪 إعدادات الخصوصية
سيزو للاستشارات — متوافق مع نظام حماية البيانات الشخصية السعودي (PDPL)
نستخدم ملفات تعريف الارتباط والتقنيات المشابهة لتوفير أفضل تجربة على منصتنا. يمكنك اختيار الأنواع التي تقبلها.
🔒
ملفات ضرورية Always On
مطلوبة لعمل الموقع بشكل صحيح. لا يمكن تعطيلها.
📋 الجلسات، CSRF، المصادقة، تفضيلات اللغة
📊
ملفات التحليلات
تساعدنا في فهم كيفية استخدام الزوار للموقع وتحسين الأداء.
📋 إحصائيات الصفحات، مدة الجلسة، مصدر الزيارة
⚙️
ملفات وظيفية
تتيح ميزات محسنة مثل تخصيص المحتوى والتفضيلات.
📋 السمة المظلمة/الفاتحة، حجم الخط، لوحات التحكم المخصصة
📣
ملفات تسويقية
تُستخدم لتقديم محتوى وإعلانات ذات صلة باهتماماتك.
📋 تتبع الحملات، إعادة الاستهداف، تحليلات وسائل التواصل
سياسة الخصوصية →
مساعد CISO الذكي
اسألني أي شيء · وثائق · دعم
🔐

عرّفنا بنفسك

أدخل بياناتك للوصول إلى المساعد الكامل

معلوماتك آمنة ولن تُشارك
💬
المساعد السيبراني
متصل — يرد في ثوانٍ
5 / 5
🔐 تحقق من هويتك

أدخل بريدك الإلكتروني لإرسال رمز تحقق قبل إرسال طلب الدعم.

Enter للإرسال · / للأوامر 0 / 2000
CISO AI · مدعوم بالذكاء الاصطناعي
✦ استطلاع سريع ساعدنا في تحسين منصة سيزو للاستشارات ملاحظاتك تشكّل مستقبل منصتنا — لا تستغرق سوى دقيقتين.
⚠ يرجى الإجابة على هذا السؤال للمتابعة

كيف تقيّم تجربتك العامة مع منصتنا؟

قيّم من 1 (ضعيف) إلى 5 (ممتاز)

🎉
شكراً جزيلاً!
تم تسجيل إجابتك بنجاح.