📄 الوصف (الإنجليزية)
A security flaw has been discovered in projectworlds Online Art Gallery Shop Project 1.0. The impacted element is an unknown function of the file /admin/adminHome.ph. The manipulation of the argument social_twitter results in sql injection. The attack may be launched remotely. The exploit has been released to the public and may be used for attacks.
🤖 ملخص AI
CVE-2026-10875 is a SQL injection vulnerability in projectworlds Online Art Gallery Shop Project 1.0 affecting the admin panel. The flaw allows remote attackers to manipulate the 'social_twitter' parameter in /admin/adminHome.ph to execute arbitrary SQL queries. With a CVSS score of 6.3 and public exploit availability, this poses a moderate risk to organizations using this software, particularly those managing e-commerce or content platforms.
📄 الوصف (العربية)
🤖 التحليل الذكي آخر تحليل: Jun 5, 2026 03:01
🇸🇦 التأثير على المملكة العربية السعودية
This vulnerability primarily impacts Saudi e-commerce platforms, digital galleries, and small-to-medium enterprises (SMEs) using projectworlds software. At-risk sectors include: retail/e-commerce businesses, cultural institutions managing online art galleries, government agencies using this platform for digital content management, and tourism-related organizations. The SQL injection could lead to unauthorized database access, data exfiltration of customer information, financial records, and potential lateral movement within organizational networks.
🏢 القطاعات السعودية المتأثرة
E-commerce and Retail
Cultural Institutions and Museums
Government Digital Services
Tourism and Hospitality
Small and Medium Enterprises (SMEs)
🎯 تقنيات MITRE ATT&CK
⚖️ درجة المخاطر السعودية (AI)
6.8
/ 10.0
🔧 Remediation Steps (English)
Immediate Actions:
1. Identify all instances of projectworlds Online Art Gallery Shop Project 1.0 in your environment
2. Restrict admin panel access (/admin/adminHome.ph) to trusted IP addresses only
3. Implement Web Application Firewall (WAF) rules to block SQL injection patterns in the 'social_twitter' parameter
4. Monitor database logs for suspicious SQL queries
Patching Guidance:
1. Contact projectworlds for security updates or consider migrating to alternative, actively maintained e-commerce platforms
2. If no patch is available, implement input validation and parameterized queries at the application level
3. Apply principle of least privilege to database user accounts
Compensating Controls:
1. Deploy WAF rules: Block requests containing SQL keywords (UNION, SELECT, DROP, etc.) in social_twitter parameter
2. Enable database activity monitoring and alerting
3. Implement strong authentication (MFA) for admin panel access
4. Regular database backups with offline storage
5. Network segmentation to isolate admin interfaces
Detection Rules:
1. Monitor for HTTP requests to /admin/adminHome.ph with encoded SQL syntax in parameters
2. Alert on database queries from admin user accounts containing UNION, SELECT, or DROP statements
3. Track failed authentication attempts to admin panel
🔧 خطوات المعالجة (العربية)
الإجراءات الفورية:
1. تحديد جميع نسخ projectworlds Online Art Gallery Shop Project 1.0 في بيئتك
2. تقييد الوصول إلى لوحة التحكم (/admin/adminHome.ph) إلى عناوين IP موثوقة فقط
3. تنفيذ قواعد جدار حماية تطبيقات الويب (WAF) لحجب أنماط حقن SQL في معامل 'social_twitter'
4. مراقبة سجلات قاعدة البيانات للاستعلامات المريبة
إرشادات التصحيح:
1. التواصل مع projectworlds للحصول على تحديثات أمنية أو النظر في الهجرة إلى منصات تجارة إلكترونية بديلة
2. إذا لم يكن هناك تصحيح متاح، قم بتنفيذ التحقق من صحة المدخلات والاستعلامات المعاملة
3. تطبيق مبدأ أقل امتياز على حسابات مستخدمي قاعدة البيانات
الضوابط البديلة:
1. نشر قواعد WAF: حجب الطلبات التي تحتوي على كلمات SQL (UNION, SELECT, DROP) في معامل social_twitter
2. تفعيل مراقبة نشاط قاعدة البيانات والتنبيهات
3. تنفيذ المصادقة القوية (MFA) لوصول لوحة التحكم
4. نسخ احتياطية منتظمة لقاعدة البيانات مع التخزين غير المتصل
5. تقسيم الشبكة لعزل واجهات الإدارة
قواعد الكشف:
1. مراقبة طلبات HTTP إلى /admin/adminHome.ph مع بناء جملة SQL مشفرة في المعاملات
2. التنبيه على استعلامات قاعدة البيانات من حسابات المسؤول التي تحتوي على عبارات UNION أو SELECT أو DROP
3. تتبع محاولات المصادقة الفاشلة إلى لوحة التحكم
📋 خريطة الامتثال التنظيمي
🟢 NCA ECC 2024
ECC 2024 A.14.2.1 - Secure development policy
ECC 2024 A.14.2.5 - Secure coding practices
ECC 2024 A.12.6.1 - Management of technical vulnerabilities
🔵 SAMA CSF
SAMA CSF ID.BE-3 - Organizational resilience
SAMA CSF PR.DS-6 - Data is protected from unauthorized access
SAMA CSF DE.CM-1 - The network is monitored to detect potential cybersecurity events
🟡 ISO 27001:2022
ISO 27001:2022 A.8.1 - Organizational controls for information security
ISO 27001:2022 A.14.2.1 - Secure development policy and procedures
ISO 27001:2022 A.12.6.1 - Management of technical vulnerabilities
🟣 PCI DSS v4.0.1
PCI DSS 6.5.1 - Injection flaws
PCI DSS 6.2 - Security patches and updates