📧 info@ciso.sa | 📱 +966550939344 | الرياض، المملكة العربية السعودية
عن المنصة الأسئلة الشائعة اتصل بنا شروط الخدمة سياسة الخصوصية 🌐 English
🔐

مرحباً — سجّل دخولك أو أنشئ حساباً للوصول الكامل.

🔑 دخول ✨ حساب جديد
🌐 EN تسجيل الدخول إنشاء حساب
🔧 صيانة مجدولة — السبت 2:00-4:00 صباحاً. قد تكون بعض الميزات غير متاحة مؤقتاً.    ●   
💎
خطة Pro بخصم 50% احصل على جميع ميزات AI والتقارير غير المحدودة والدعم ذي الأولوية. الترقية الآن
مركز البحث
ESC للإغلاق
تنقل فتح Ctrl+K بحث
CISO Consulting
Global vulnerability تكنولوجيا المعلومات CRITICAL 1h Global vulnerability برامج المؤسسات والخدمات السحابية HIGH 1h Global vulnerability تكنولوجيا المعلومات والبنية التحتية الأمنية CRITICAL 2h Global vulnerability أنظمة التحكم الصناعية / التصنيع HIGH 3h Global general الذكاء الاصطناعي والأمن السيبراني MEDIUM 3h Global vulnerability البرمجيات والخدمات السحابية HIGH 3h Global vulnerability البنية التحتية للشبكات HIGH 4h Global vulnerability إدارة أجهزة الجوال / أمان المؤسسات CRITICAL 4h Global vulnerability أنظمة التشغيل وبرامج الأمان CRITICAL 5h Global vulnerability تطوير البرمجيات والتكنولوجيا CRITICAL 5h Global vulnerability تكنولوجيا المعلومات CRITICAL 1h Global vulnerability برامج المؤسسات والخدمات السحابية HIGH 1h Global vulnerability تكنولوجيا المعلومات والبنية التحتية الأمنية CRITICAL 2h Global vulnerability أنظمة التحكم الصناعية / التصنيع HIGH 3h Global general الذكاء الاصطناعي والأمن السيبراني MEDIUM 3h Global vulnerability البرمجيات والخدمات السحابية HIGH 3h Global vulnerability البنية التحتية للشبكات HIGH 4h Global vulnerability إدارة أجهزة الجوال / أمان المؤسسات CRITICAL 4h Global vulnerability أنظمة التشغيل وبرامج الأمان CRITICAL 5h Global vulnerability تطوير البرمجيات والتكنولوجيا CRITICAL 5h Global vulnerability تكنولوجيا المعلومات CRITICAL 1h Global vulnerability برامج المؤسسات والخدمات السحابية HIGH 1h Global vulnerability تكنولوجيا المعلومات والبنية التحتية الأمنية CRITICAL 2h Global vulnerability أنظمة التحكم الصناعية / التصنيع HIGH 3h Global general الذكاء الاصطناعي والأمن السيبراني MEDIUM 3h Global vulnerability البرمجيات والخدمات السحابية HIGH 3h Global vulnerability البنية التحتية للشبكات HIGH 4h Global vulnerability إدارة أجهزة الجوال / أمان المؤسسات CRITICAL 4h Global vulnerability أنظمة التشغيل وبرامج الأمان CRITICAL 5h Global vulnerability تطوير البرمجيات والتكنولوجيا CRITICAL 5h
الثغرات

CVE-2026-11439

متوسط
CWE-266 — نوع الضعف
نُشر: Jun 6, 2026  ·  آخر تحديث: Jun 9, 2026  ·  المصدر: NVD
CVSS v3
6.3
🔗 NVD الرسمي
📄 الوصف (الإنجليزية)

A vulnerability was found in theonedev onedev up to 15.0.5. Affected by this issue is some unknown functionality of the file /projects/ of the component Parent Project Handler. The manipulation of the argument project.parentId results in improper authorization. The attack may be performed from remote. Upgrading to version 15.0.6 can resolve this issue. It is recommended to upgrade the affected component.

🤖 ملخص AI

A remote authorization bypass vulnerability exists in OneDev versions up to 15.0.5 affecting the Parent Project Handler component. An attacker can manipulate the project.parentId parameter to bypass authorization controls and gain unauthorized access to project resources. While no public exploit is available, the vulnerability requires immediate patching as it allows unauthenticated or low-privileged users to escalate access to sensitive project data.

📄 الوصف (العربية)

🤖 التحليل الذكي آخر تحليل: Jun 6, 2026 22:18
🇸🇦 التأثير على المملكة العربية السعودية
Saudi organizations using OneDev for project management and source code repositories face significant risk, particularly in government IT departments, financial institutions managing development infrastructure, and telecommunications companies. The vulnerability could allow unauthorized access to sensitive development projects, intellectual property, and configuration data. Government agencies under NCA oversight and SAMA-regulated financial institutions are particularly at risk if OneDev is used for critical infrastructure development or financial system management.
🏢 القطاعات السعودية المتأثرة
Government and Public Administration Banking and Financial Services Telecommunications Energy and Utilities Healthcare Education and Research Software Development Companies
⚖️ درجة المخاطر السعودية (AI)
6.8
/ 10.0
🔧 Remediation Steps (English)
Immediate Actions:

1. Identify all OneDev instances in your environment running versions up to 15.0.5

2. Restrict network access to OneDev servers to authorized users only using firewall rules

3. Review access logs for suspicious project.parentId parameter manipulation attempts

4. Audit all project hierarchy configurations for unauthorized parent-child relationships



Patching Guidance:

1. Upgrade OneDev to version 15.0.6 or later immediately

2. Test the upgrade in a staging environment before production deployment

3. Verify all project permissions are correctly restored after upgrade



Compensating Controls (if immediate patching not possible):

1. Implement Web Application Firewall (WAF) rules to block suspicious project.parentId parameters

2. Enable detailed logging and monitoring of /projects/ endpoint access

3. Restrict API access to OneDev to authenticated users only

4. Implement IP whitelisting for OneDev access



Detection Rules:

1. Monitor for repeated failed authorization attempts on /projects/ endpoint

2. Alert on project.parentId parameter values that don't match existing project hierarchies

3. Track changes to project parent-child relationships outside normal change management

4. Log all access attempts to projects by users without explicit permissions
🔧 خطوات المعالجة (العربية)
الإجراءات الفورية:

1. تحديد جميع مثيلات OneDev في بيئتك التي تعمل بإصدارات حتى 15.0.5

2. تقييد الوصول إلى شبكة خوادم OneDev للمستخدمين المصرح لهم فقط باستخدام قواعد جدار الحماية

3. مراجعة سجلات الوصول لمحاولات التلاعب بمعامل project.parentId المريبة

4. تدقيق جميع تكوينات التسلسل الهرمي للمشروع للعلاقات الأب والابن غير المصرح بها



إرشادات التصحيح:

1. ترقية OneDev إلى الإصدار 15.0.6 أو أحدث على الفور

2. اختبار الترقية في بيئة التجريب قبل نشر الإنتاج

3. التحقق من استعادة جميع أذونات المشروع بشكل صحيح بعد الترقية



عناصر التحكم التعويضية (إذا لم يكن التصحيح الفوري ممكنًا):

1. تنفيذ قواعد جدار تطبيقات الويب (WAF) لحظر معاملات project.parentId المريبة

2. تفعيل السجلات المفصلة ومراقبة وصول نقطة نهاية /projects/

3. تقييد وصول API إلى OneDev للمستخدمين المصرح لهم فقط

4. تنفيذ القائمة البيضاء للعناوين IP لوصول OneDev



قواعد الكشف:

1. مراقبة محاولات التفويض الفاشلة المتكررة على نقطة نهاية /projects/

2. التنبيه على قيم معامل project.parentId التي لا تطابق التسلسلات الهرمية للمشروع الموجودة

3. تتبع التغييرات على علاقات الأب والابن للمشروع خارج إدارة التغيير العادية

4. تسجيل جميع محاولات الوصول إلى المشاريع من قبل المستخدمين بدون أذونات صريحة
📋 خريطة الامتثال التنظيمي
🟢 NCA ECC 2024
ECC 2024 A.9.1.1 - Access Control Policy ECC 2024 A.9.2.1 - User Registration and De-registration ECC 2024 A.9.4.3 - Password Management ECC 2024 A.14.2.1 - Information Security Requirements Analysis and Specification
🔵 SAMA CSF
SAMA CSF ID.AC-1 - Access Control Policy and Procedures SAMA CSF PR.AC-1 - Identities and Credentials are Managed SAMA CSF PR.AC-3 - Access Restrictions are Enforced SAMA CSF DE.CM-1 - The Network is Monitored for Unauthorized Connections
🟡 ISO 27001:2022
ISO 27001:2022 A.5.3 - Segregation of Duties ISO 27001:2022 A.8.2 - User Access Management ISO 27001:2022 A.8.3 - User Responsibilities ISO 27001:2022 A.9.2 - User Access Rights
📊 CVSS Score
6.3
/ 10.0 — متوسط
📊 CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:L/A:L
Attack VectorN — None / Network
Attack ComplexityL — Low / Local
Privileges RequiredL — Low / Local
User InteractionN — None / Network
ScopeU — Unchanged
ConfidentialityL — Low / Local
IntegrityL — Low / Local
AvailabilityL — Low / Local
📋 حقائق سريعة
الخطورة متوسط
CVSS Score6.3
CWECWE-266
EPSS0.04%
اختراق متاح لا
تصحيح متاح ✗ لا
تاريخ النشر 2026-06-06
المصدر nvd
المشاهدات 1
🇸🇦 درجة المخاطر السعودية
6.8
/ 10.0 — مخاطر السعودية
أولوية: HIGH
🏷️ الوسوم
CWE-266
⚡ إجراءات
🔗 NVD Official Page ⚡ Exploit-DB Search 🐙 GitHub PoC Search 🎯 MITRE ATT&CK 📊 CVE Details
مشاركة ثغرة
LinkedIn X / Twitter WhatsApp Telegram
📣 وجدت هذا مفيداً؟
شاركه مع شبكة الأمن السيبراني الخاصة بك
in لينكدإن 𝕏 تويتر 💬 واتساب ✈ تليجرام
🍪 إعدادات الخصوصية
سيزو للاستشارات — متوافق مع نظام حماية البيانات الشخصية السعودي (PDPL)
نستخدم ملفات تعريف الارتباط والتقنيات المشابهة لتوفير أفضل تجربة على منصتنا. يمكنك اختيار الأنواع التي تقبلها.
🔒
ملفات ضرورية Always On
مطلوبة لعمل الموقع بشكل صحيح. لا يمكن تعطيلها.
📋 الجلسات، CSRF، المصادقة، تفضيلات اللغة
📊
ملفات التحليلات
تساعدنا في فهم كيفية استخدام الزوار للموقع وتحسين الأداء.
📋 إحصائيات الصفحات، مدة الجلسة، مصدر الزيارة
⚙️
ملفات وظيفية
تتيح ميزات محسنة مثل تخصيص المحتوى والتفضيلات.
📋 السمة المظلمة/الفاتحة، حجم الخط، لوحات التحكم المخصصة
📣
ملفات تسويقية
تُستخدم لتقديم محتوى وإعلانات ذات صلة باهتماماتك.
📋 تتبع الحملات، إعادة الاستهداف، تحليلات وسائل التواصل
سياسة الخصوصية →
مساعد CISO الذكي
اسألني أي شيء · وثائق · دعم
🔐

عرّفنا بنفسك

أدخل بياناتك للوصول إلى المساعد الكامل

معلوماتك آمنة ولن تُشارك
💬
المساعد السيبراني
متصل — يرد في ثوانٍ
5 / 5
🔐 تحقق من هويتك

أدخل بريدك الإلكتروني لإرسال رمز تحقق قبل إرسال طلب الدعم.

Enter للإرسال · / للأوامر 0 / 2000
CISO AI · مدعوم بالذكاء الاصطناعي
✦ استطلاع سريع ساعدنا في تحسين منصة سيزو للاستشارات ملاحظاتك تشكّل مستقبل منصتنا — لا تستغرق سوى دقيقتين.
⚠ يرجى الإجابة على هذا السؤال للمتابعة

كيف تقيّم تجربتك العامة مع منصتنا؟

قيّم من 1 (ضعيف) إلى 5 (ممتاز)

🎉
شكراً جزيلاً!
تم تسجيل إجابتك بنجاح.