📄 الوصف (الإنجليزية)
A flaw has been found in CodeAstro Ingredients Stock Management System 1.0. This vulnerability affects unknown code of the file /Ingredients-Stock/stock_manager.php. This manipulation of the argument txt_search_category causes sql injection. The attack may be initiated remotely. The exploit has been published and may be used.
🤖 ملخص AI
CVE-2026-10235 is a SQL injection vulnerability in CodeAstro Ingredients Stock Management System 1.0 affecting the stock_manager.php file. The vulnerability allows remote attackers to manipulate the txt_search_category parameter to execute arbitrary SQL queries. With a CVSS score of 6.3 and published exploit details, this poses a moderate risk to organizations using this system, particularly those in food service, retail, and supply chain sectors.
📄 الوصف (العربية)
🤖 التحليل الذكي آخر تحليل: Jun 1, 2026 12:37
🇸🇦 التأثير على المملكة العربية السعودية
This vulnerability primarily impacts Saudi organizations in food service, hospitality, retail, and supply chain management sectors that utilize CodeAstro Ingredients Stock Management System. High-risk sectors include: (1) Food & Beverage companies and restaurants operating across Saudi Arabia, (2) Retail chains managing inventory systems, (3) Healthcare facilities with dietary management systems, (4) Government procurement and supply chain entities. The SQL injection vulnerability could lead to unauthorized database access, data exfiltration of supplier information, pricing data, and inventory records, potentially affecting business operations and regulatory compliance with SAMA and NCA requirements.
🏢 القطاعات السعودية المتأثرة
Food & Beverage
Retail
Hospitality
Supply Chain Management
Healthcare
Government Procurement
🎯 تقنيات MITRE ATT&CK
⚖️ درجة المخاطر السعودية (AI)
6.8
/ 10.0
🔧 Remediation Steps (English)
IMMEDIATE ACTIONS:
1. Identify all instances of CodeAstro Ingredients Stock Management System 1.0 in your environment
2. Isolate affected systems from production networks if possible, or implement network segmentation
3. Review database access logs for suspicious SQL queries or unauthorized access attempts
4. Monitor for indicators of compromise in the past 30 days
PATCHING GUIDANCE:
1. Contact CodeAstro for security patches or updates addressing SQL injection in stock_manager.php
2. If no patch is available, consider upgrading to a newer version of the software
3. Implement input validation and parameterized queries in the application code
COMPENSATING CONTROLS (if patch unavailable):
1. Implement Web Application Firewall (WAF) rules to block SQL injection patterns in txt_search_category parameter
2. Apply principle of least privilege to database user accounts used by the application
3. Disable error messages that reveal database structure
4. Implement database activity monitoring (DAM) to detect anomalous queries
5. Use prepared statements and stored procedures with parameterized inputs
DETECTION RULES:
1. Monitor for SQL keywords (UNION, SELECT, DROP, INSERT, UPDATE) in txt_search_category parameter values
2. Alert on database connection attempts with unusual query patterns
3. Track failed authentication attempts to the database
4. Monitor for multiple rapid requests to stock_manager.php with varying parameter values
🔧 خطوات المعالجة (العربية)
الإجراءات الفورية:
1. تحديد جميع حالات نظام إدارة مخزون المكونات CodeAstro الإصدار 1.0 في بيئتك
2. عزل الأنظمة المتأثرة عن شبكات الإنتاج إن أمكن، أو تطبيق تقسيم الشبكة
3. مراجعة سجلات الوصول إلى قاعدة البيانات للاستعلامات المريبة أو محاولات الوصول غير المصرح بها
4. مراقبة مؤشرات الاختراق في آخر 30 يوماً
إرشادات التصحيح:
1. التواصل مع CodeAstro للحصول على تصحيحات أمان أو تحديثات تعالج حقن SQL في stock_manager.php
2. إذا لم يكن هناك تصحيح متاح، فكر في الترقية إلى إصدار أحدث من البرنامج
3. تطبيق التحقق من صحة المدخلات والاستعلامات المعاملة في كود التطبيق
الضوابط البديلة (إذا لم يكن التصحيح متاحاً):
1. تطبيق قواعد جدار حماية تطبيقات الويب (WAF) لحجب أنماط حقن SQL في معامل txt_search_category
2. تطبيق مبدأ أقل امتياز على حسابات مستخدمي قاعدة البيانات المستخدمة من قبل التطبيق
3. تعطيل الرسائل التي تكشف عن هيكل قاعدة البيانات
4. تطبيق مراقبة نشاط قاعدة البيانات (DAM) للكشف عن الاستعلامات الشاذة
5. استخدام العبارات المحضرة والإجراءات المخزنة مع المدخلات المعاملة
قواعد الكشف:
1. مراقبة كلمات SQL الرئيسية (UNION, SELECT, DROP, INSERT, UPDATE) في قيم معامل txt_search_category
2. التنبيه على محاولات الاتصال بقاعدة البيانات بأنماط استعلام غير عادية
3. تتبع محاولات المصادقة الفاشلة لقاعدة البيانات
4. مراقبة الطلبات السريعة المتعددة إلى stock_manager.php بقيم معاملات مختلفة
📋 خريطة الامتثال التنظيمي
🟢 NCA ECC 2024
ECC 2024 A.14.2.1 - Secure development policy and procedures
ECC 2024 A.14.2.5 - Secure coding practices
ECC 2024 A.14.2.8 - System security testing
ECC 2024 A.13.1.3 - Segregation of networks
🔵 SAMA CSF
SAMA CSF ID.BE-3.2 - Organizational roles and responsibilities
SAMA CSF PR.DS-6 - Data is protected from unauthorized access
SAMA CSF DE.CM-1 - The network is monitored to detect potential cybersecurity events
SAMA CSF RS.MI-2 - Incidents are mitigated
🟡 ISO 27001:2022
ISO 27001:2022 A.8.2.3 - Segregation of duties
ISO 27001:2022 A.14.2.1 - Information security requirements analysis and specification
ISO 27001:2022 A.14.2.5 - Secure development and DevOps
ISO 27001:2022 A.8.3.2 - User access provisioning
🟣 PCI DSS v4.0.1
PCI DSS 6.5.1 - Injection flaws prevention
PCI DSS 6.2 - Security patches and updates
PCI DSS 11.3 - Penetration testing
🔗 المراجع والمصادر 6