📧 info@ciso.sa | 📱 +966550939344 | الرياض، المملكة العربية السعودية
عن المنصة الأسئلة الشائعة اتصل بنا شروط الخدمة سياسة الخصوصية 🌐 English
🔐

مرحباً — سجّل دخولك أو أنشئ حساباً للوصول الكامل.

🔑 دخول ✨ حساب جديد
🌐 EN تسجيل الدخول إنشاء حساب
🔧 صيانة مجدولة — السبت 2:00-4:00 صباحاً. قد تكون بعض الميزات غير متاحة مؤقتاً.    ●   
💎
خطة Pro بخصم 50% احصل على جميع ميزات AI والتقارير غير المحدودة والدعم ذي الأولوية. الترقية الآن
مركز البحث
ESC للإغلاق
تنقل فتح Ctrl+K بحث
CISO Consulting
Global vulnerability قطاع التكنولوجيا وأنظمة الذكاء الاصطناعي HIGH 2h Global vulnerability التكنولوجيا والإعلام والبث CRITICAL 3h Global vulnerability الحكومة والبنية التحتية الحرجة CRITICAL 3h Global supply_chain الذكاء الاصطناعي والتكنولوجيا HIGH 3h Global malware قطاعات متعددة HIGH 4h Global malware قطاعات متعددة HIGH 5h Global vulnerability تكنولوجيا المعلومات والاتصالات والبنية التحتية CRITICAL 5h Global malware الأمن السيبراني وإنفاذ القانون والقطاعات المتعددة HIGH 5h Global supply_chain تكنولوجيا وتطوير البرمجيات HIGH 5h Global phishing تكنولوجيا المعلومات والأمن السيبراني HIGH 6h Global vulnerability قطاع التكنولوجيا وأنظمة الذكاء الاصطناعي HIGH 2h Global vulnerability التكنولوجيا والإعلام والبث CRITICAL 3h Global vulnerability الحكومة والبنية التحتية الحرجة CRITICAL 3h Global supply_chain الذكاء الاصطناعي والتكنولوجيا HIGH 3h Global malware قطاعات متعددة HIGH 4h Global malware قطاعات متعددة HIGH 5h Global vulnerability تكنولوجيا المعلومات والاتصالات والبنية التحتية CRITICAL 5h Global malware الأمن السيبراني وإنفاذ القانون والقطاعات المتعددة HIGH 5h Global supply_chain تكنولوجيا وتطوير البرمجيات HIGH 5h Global phishing تكنولوجيا المعلومات والأمن السيبراني HIGH 6h Global vulnerability قطاع التكنولوجيا وأنظمة الذكاء الاصطناعي HIGH 2h Global vulnerability التكنولوجيا والإعلام والبث CRITICAL 3h Global vulnerability الحكومة والبنية التحتية الحرجة CRITICAL 3h Global supply_chain الذكاء الاصطناعي والتكنولوجيا HIGH 3h Global malware قطاعات متعددة HIGH 4h Global malware قطاعات متعددة HIGH 5h Global vulnerability تكنولوجيا المعلومات والاتصالات والبنية التحتية CRITICAL 5h Global malware الأمن السيبراني وإنفاذ القانون والقطاعات المتعددة HIGH 5h Global supply_chain تكنولوجيا وتطوير البرمجيات HIGH 5h Global phishing تكنولوجيا المعلومات والأمن السيبراني HIGH 6h
الثغرات

CVE-2025-7799

مرتفع
Improper Neutralization of Input During Web Page Generation (XSS or 'Cross-site Scripting') vulnerability in Zirve Information Technologies Inc. E-Taxpayer Accounting Website allows Reflected XSS.This
CWE-79 — نوع الضعف
نُشر: Feb 9, 2026  ·  آخر تحديث: Feb 28, 2026  ·  المصدر: NVD
CVSS v3
8.6
🔗 NVD الرسمي
📄 الوصف (الإنجليزية)

Improper Neutralization of Input During Web Page Generation (XSS or 'Cross-site Scripting') vulnerability in Zirve Information Technologies Inc. E-Taxpayer Accounting Website allows Reflected XSS.This issue affects e-Taxpayer Accounting Website: through 07082025.

🤖 ملخص AI

A reflected Cross-Site Scripting (XSS) vulnerability (CVSS 8.6) exists in Zirve Information Technologies' E-Taxpayer Accounting Website through July 8, 2025. This vulnerability allows attackers to inject malicious scripts that execute in users' browsers, potentially compromising sensitive tax and financial data. Immediate patching is critical for organizations using this platform, particularly those handling Saudi taxpayer information.

📄 الوصف (العربية)

🤖 التحليل الذكي آخر تحليل: Apr 23, 2026 22:35
🇸🇦 التأثير على المملكة العربية السعودية
This vulnerability poses significant risk to Saudi organizations, particularly: (1) General Authority of Zakat and Tax (GAZT) and its affiliated entities managing taxpayer data; (2) Accounting firms and tax consultancies serving Saudi businesses; (3) Large enterprises with tax compliance obligations under GAZT; (4) Financial institutions processing tax-related transactions. The reflected XSS could enable credential theft, unauthorized access to sensitive tax records, manipulation of tax filings, and compromise of personally identifiable information (PII) of Saudi taxpayers and business entities.
🏢 القطاعات السعودية المتأثرة
Government - Tax Authority (GAZT) Accounting and Auditing Firms Banking and Financial Services Large Enterprises Professional Services
⚖️ درجة المخاطر السعودية (AI)
8.2
/ 10.0
🔧 Remediation Steps (English)
IMMEDIATE ACTIONS:

1. Apply the available patch from Zirve Information Technologies immediately to all E-Taxpayer Accounting Website instances

2. Verify patch deployment across all production and staging environments

3. Conduct user awareness training on phishing and suspicious links that may exploit this XSS



PATCHING GUIDANCE:

1. Contact Zirve Information Technologies for patch availability and deployment instructions

2. Test patch in non-production environment before production deployment

3. Schedule maintenance window for patch application with minimal business disruption

4. Verify functionality post-patch to ensure no regression



COMPENSATING CONTROLS (if patch delayed):

1. Implement Web Application Firewall (WAF) rules to detect and block XSS payloads

2. Enable Content Security Policy (CSP) headers to restrict script execution

3. Implement input validation and output encoding at application level

4. Use browser security extensions that block XSS attacks

5. Restrict access to the application via VPN/IP whitelisting



DETECTION RULES:

1. Monitor for unusual URL parameters containing script tags or event handlers (script, onerror, onload, etc.)

2. Alert on HTTP requests containing encoded XSS payloads (%3Cscript, <script)

3. Monitor for abnormal user session behavior post-login

4. Track failed authentication attempts followed by successful logins from different IPs

5. Log and review all administrative actions on tax records
🔧 خطوات المعالجة (العربية)
الإجراءات الفورية:

1. تطبيق التصحيح المتاح من Zirve Information Technologies فوراً على جميع نسخ موقع E-Taxpayer Accounting Website

2. التحقق من نشر التصحيح عبر جميع بيئات الإنتاج والاختبار

3. إجراء تدريب توعوي للمستخدمين حول الرسائل المريبة والروابط المشبوهة



إرشادات التصحيح:

1. التواصل مع Zirve Information Technologies للحصول على التصحيح وتعليمات النشر

2. اختبار التصحيح في بيئة غير الإنتاج قبل النشر

3. جدولة نافذة صيانة لتطبيق التصحيح بأقل تأثير على العمليات

4. التحقق من الوظائف بعد التصحيح



الضوابط البديلة (إذا تأخر التصحيح):

1. تطبيق قواعد جدار حماية تطبيقات الويب (WAF) لكشف وحجب حمولات XSS

2. تفعيل رؤوس سياسة أمان المحتوى (CSP) لتقييد تنفيذ البرامج النصية

3. تطبيق التحقق من المدخلات وترميز المخرجات على مستوى التطبيق

4. استخدام امتدادات أمان المتصفح التي تحجب هجمات XSS

5. تقييد الوصول للتطبيق عبر VPN أو قائمة بيضاء للعناوين



قواعد الكشف:

1. مراقبة معاملات URL غير العادية التي تحتوي على علامات البرامج النصية

2. التنبيه على طلبات HTTP تحتوي على حمولات XSS المشفرة

3. مراقبة السلوك غير الطبيعي لجلسات المستخدم بعد تسجيل الدخول

4. تتبع محاولات المصادقة الفاشلة متبوعة بعمليات دخول ناجحة من عناوين IP مختلفة

5. تسجيل ومراجعة جميع الإجراءات الإدارية على سجلات الضرائب
📋 خريطة الامتثال التنظيمي
🟢 NCA ECC 2024
A.14.2.1 - Secure development policy and procedures A.14.2.5 - Secure development environment A.14.3.1 - Testing of security functionality A.14.3.2 - System change control A.5.1.2 - Information security roles and responsibilities
🔵 SAMA CSF
ID.SC-4 - Third-party risk management PR.DS-1 - Data security and privacy PR.IP-1 - Security policy and strategy DE.CM-1 - Detection and analysis RS.RP-1 - Response planning
🟡 ISO 27001:2022
A.8.2.3 - Segregation of duties A.12.2.1 - Business requirements for information systems A.12.6.1 - Management of technical vulnerabilities A.14.2.1 - Information security requirements analysis and specification A.14.3.1 - Secure development policy
🟣 PCI DSS v4.0.1
6.5.7 - Cross-site scripting (XSS) 6.2 - Security patches and updates 11.2 - Vulnerability scanning
📊 CVSS Score
8.6
/ 10.0 — مرتفع
📊 CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:H/A:L
Attack VectorN — None / Network
Attack ComplexityL — Low / Local
Privileges RequiredN — None / Network
User InteractionN — None / Network
ScopeU — Unchanged
ConfidentialityL — Low / Local
IntegrityH — High
AvailabilityL — Low / Local
📋 حقائق سريعة
الخطورة مرتفع
CVSS Score8.6
CWECWE-79
EPSS0.02%
اختراق متاح لا
تصحيح متاح ✓ نعم
تاريخ النشر 2026-02-09
المصدر nvd
المشاهدات 6
🇸🇦 درجة المخاطر السعودية
8.2
/ 10.0 — مخاطر السعودية
أولوية: CRITICAL
🏷️ الوسوم
CWE-79
⚡ إجراءات
🔗 NVD Official Page ⚡ Exploit-DB Search 🐙 GitHub PoC Search 🎯 MITRE ATT&CK 📊 CVE Details
مشاركة ثغرة
LinkedIn X / Twitter WhatsApp Telegram

💬 التعليقات

0
جارٍ التحميل
📣 وجدت هذا مفيداً؟
شاركه مع شبكة الأمن السيبراني الخاصة بك
in لينكدإن 𝕏 تويتر 💬 واتساب ✈ تليجرام
🍪 إعدادات الخصوصية
سيزو للاستشارات — متوافق مع نظام حماية البيانات الشخصية السعودي (PDPL)
نستخدم ملفات تعريف الارتباط والتقنيات المشابهة لتوفير أفضل تجربة على منصتنا. يمكنك اختيار الأنواع التي تقبلها.
🔒
ملفات ضرورية Always On
مطلوبة لعمل الموقع بشكل صحيح. لا يمكن تعطيلها.
📋 الجلسات، CSRF، المصادقة، تفضيلات اللغة
📊
ملفات التحليلات
تساعدنا في فهم كيفية استخدام الزوار للموقع وتحسين الأداء.
📋 إحصائيات الصفحات، مدة الجلسة، مصدر الزيارة
⚙️
ملفات وظيفية
تتيح ميزات محسنة مثل تخصيص المحتوى والتفضيلات.
📋 السمة المظلمة/الفاتحة، حجم الخط، لوحات التحكم المخصصة
📣
ملفات تسويقية
تُستخدم لتقديم محتوى وإعلانات ذات صلة باهتماماتك.
📋 تتبع الحملات، إعادة الاستهداف، تحليلات وسائل التواصل
سياسة الخصوصية →
مساعد CISO الذكي
اسألني أي شيء · وثائق · دعم
🔐

عرّفنا بنفسك

أدخل بياناتك للوصول إلى المساعد الكامل

معلوماتك آمنة ولن تُشارك
💬
المساعد السيبراني
متصل — يرد في ثوانٍ
5 / 5
🔐 تحقق من هويتك

أدخل بريدك الإلكتروني لإرسال رمز تحقق قبل إرسال طلب الدعم.

Enter للإرسال · / للأوامر 0 / 2000
CISO AI · مدعوم بالذكاء الاصطناعي
✦ استطلاع سريع ساعدنا في تحسين منصة سيزو للاستشارات ملاحظاتك تشكّل مستقبل منصتنا — لا تستغرق سوى دقيقتين.
⚠ يرجى الإجابة على هذا السؤال للمتابعة

كيف تقيّم تجربتك العامة مع منصتنا؟

قيّم من 1 (ضعيف) إلى 5 (ممتاز)

🎉
شكراً جزيلاً!
تم تسجيل إجابتك بنجاح.