📧 info@ciso.sa | 📱 +966550939344 | الرياض، المملكة العربية السعودية
عن المنصة الأسئلة الشائعة اتصل بنا شروط الخدمة سياسة الخصوصية 🌐 English
🔐

مرحباً — سجّل دخولك أو أنشئ حساباً للوصول الكامل.

🔑 دخول ✨ حساب جديد
🌐 EN تسجيل الدخول إنشاء حساب
🔧 صيانة مجدولة — السبت 2:00-4:00 صباحاً. قد تكون بعض الميزات غير متاحة مؤقتاً.    ●   
💎
خطة Pro بخصم 50% احصل على جميع ميزات AI والتقارير غير المحدودة والدعم ذي الأولوية. الترقية الآن
مركز البحث
ESC للإغلاق
تنقل فتح Ctrl+K بحث
CISO Consulting
Global vulnerability الذكاء الاصطناعي والتكنولوجيا HIGH 3h Global general قطاع التكنولوجيا والذكاء الاصطناعي MEDIUM 6h Global general قطاع التكنولوجيا والذكاء الاصطناعي HIGH 7h Global vulnerability التعليم العالي CRITICAL 17h Global data_breach القطاع الحكومي HIGH 18h Global supply_chain تطوير البرمجيات والمجتمعات مفتوحة المصدر CRITICAL 18h Global malware تطوير البرمجيات CRITICAL 18h Global phishing قطاعات متعددة HIGH 18h Global vulnerability تطبيقات الويب CRITICAL 19h Global apt البنية التحتية الحرجة CRITICAL 19h Global vulnerability الذكاء الاصطناعي والتكنولوجيا HIGH 3h Global general قطاع التكنولوجيا والذكاء الاصطناعي MEDIUM 6h Global general قطاع التكنولوجيا والذكاء الاصطناعي HIGH 7h Global vulnerability التعليم العالي CRITICAL 17h Global data_breach القطاع الحكومي HIGH 18h Global supply_chain تطوير البرمجيات والمجتمعات مفتوحة المصدر CRITICAL 18h Global malware تطوير البرمجيات CRITICAL 18h Global phishing قطاعات متعددة HIGH 18h Global vulnerability تطبيقات الويب CRITICAL 19h Global apt البنية التحتية الحرجة CRITICAL 19h Global vulnerability الذكاء الاصطناعي والتكنولوجيا HIGH 3h Global general قطاع التكنولوجيا والذكاء الاصطناعي MEDIUM 6h Global general قطاع التكنولوجيا والذكاء الاصطناعي HIGH 7h Global vulnerability التعليم العالي CRITICAL 17h Global data_breach القطاع الحكومي HIGH 18h Global supply_chain تطوير البرمجيات والمجتمعات مفتوحة المصدر CRITICAL 18h Global malware تطوير البرمجيات CRITICAL 18h Global phishing قطاعات متعددة HIGH 18h Global vulnerability تطبيقات الويب CRITICAL 19h Global apt البنية التحتية الحرجة CRITICAL 19h
الثغرات

CVE-2026-1314

متوسط
CWE-862 — نوع الضعف
نُشر: Apr 15, 2026  ·  آخر تحديث: Apr 18, 2026  ·  المصدر: NVD
CVSS v3
5.3
🔗 NVD الرسمي
📄 الوصف (الإنجليزية)

The 3D FlipBook – PDF Embedder, PDF Flipbook Viewer, Flipbook Image Gallery plugin for WordPress is vulnerable to unauthorized access of data due to a missing capability check on the send_post_pages_json() function in all versions up to, and including, 1.16.17. This makes it possible for unauthenticated attackers to retrieve flipbook page metadata for draft, private and password-protected flipbooks.

🤖 ملخص AI

The 3D FlipBook WordPress plugin (versions ≤1.16.17) contains a critical authorization bypass vulnerability allowing unauthenticated attackers to access sensitive flipbook metadata including draft, private, and password-protected content. This vulnerability affects organizations using WordPress for document management, particularly those handling confidential business documents, financial reports, or sensitive communications. With no patch currently available, immediate mitigation is required to prevent unauthorized information disclosure.

📄 الوصف (العربية)

🤖 التحليل الذكي آخر تحليل: May 30, 2026 02:19
🇸🇦 التأثير على المملكة العربية السعودية
Saudi organizations most at risk include: (1) Banking sector (SAMA-regulated institutions) using WordPress for customer communications and document distribution; (2) Government agencies (NCA oversight) managing confidential policy documents and administrative communications; (3) Healthcare providers handling patient education materials and sensitive health information; (4) Energy sector (ARAMCO and subsidiaries) distributing technical documentation and operational reports; (5) Telecommunications companies (STC, Mobily) managing internal communications and customer documentation. The vulnerability is particularly critical for organizations using flipbooks for confidential business communications, financial disclosures, or regulatory compliance documentation.
🏢 القطاعات السعودية المتأثرة
Banking and Financial Services Government and Public Administration Healthcare and Medical Services Energy and Utilities Telecommunications Education Legal Services Real Estate and Property Management
⚖️ درجة المخاطر السعودية (AI)
7.2
/ 10.0
🔧 Remediation Steps (English)
IMMEDIATE ACTIONS:

1. Disable the 3D FlipBook plugin immediately until a patch is available

2. If disabling is not feasible, restrict access to the WordPress installation using Web Application Firewall (WAF) rules blocking requests to /wp-admin/admin-ajax.php?action=send_post_pages_json

3. Audit access logs for the past 90 days to identify unauthorized access attempts to send_post_pages_json endpoint

4. Review flipbook content to identify what sensitive information may have been exposed



COMPENSATING CONTROLS:

1. Implement IP whitelisting at network level for WordPress administrative access

2. Deploy WAF rules to block unauthenticated requests to admin-ajax.php endpoints

3. Move sensitive flipbooks to alternative document management systems with proper access controls

4. Implement HTTP authentication layer in front of WordPress installation

5. Use Content Security Policy (CSP) headers to restrict data exfiltration



DETECTION RULES:

1. Monitor for POST requests to /wp-admin/admin-ajax.php with action=send_post_pages_json from non-authenticated sessions

2. Alert on any access to send_post_pages_json endpoint from external IP addresses

3. Log and review all requests containing flipbook-related parameters from unauthenticated users

4. Implement SIEM rules to detect multiple rapid requests to the vulnerable endpoint



PATCHING GUIDANCE:

1. Monitor plugin repository for security update (currently no patch available)

2. Subscribe to WordPress security mailing lists for notification of patch release

3. Plan immediate update deployment upon patch availability

4. Test patch in staging environment before production deployment
🔧 خطوات المعالجة (العربية)
الإجراءات الفورية:

1. تعطيل مكون 3D FlipBook فوراً حتى يتوفر تصحيح

2. إذا لم يكن التعطيل ممكناً، قيد الوصول إلى تثبيت WordPress باستخدام قواعد جدار حماية تطبيقات الويب (WAF) لحجب الطلبات إلى /wp-admin/admin-ajax.php?action=send_post_pages_json

3. تدقيق سجلات الوصول لآخر 90 يوماً لتحديد محاولات الوصول غير المصرح به إلى نقطة نهاية send_post_pages_json

4. مراجعة محتوى الكتب الإلكترونية لتحديد المعلومات الحساسة التي قد تكون قد تعرضت



الضوابط التعويضية:

1. تنفيذ قائمة بيضاء للعناوين IP على مستوى الشبكة لوصول WordPress الإداري

2. نشر قواعد WAF لحجب الطلبات غير المصرح بها إلى نقاط نهاية admin-ajax.php

3. نقل الكتب الإلكترونية الحساسة إلى أنظمة إدارة مستندات بديلة مع ضوابط وصول مناسبة

4. تنفيذ طبقة مصادقة HTTP أمام تثبيت WordPress

5. استخدام رؤوس سياسة أمان المحتوى (CSP) لتقييد تسرب البيانات



قواعد الكشف:

1. مراقبة طلبات POST إلى /wp-admin/admin-ajax.php مع action=send_post_pages_json من جلسات غير مصرح بها

2. تنبيه عند أي وصول إلى نقطة نهاية send_post_pages_json من عناوين IP خارجية

3. تسجيل ومراجعة جميع الطلبات التي تحتوي على معاملات متعلقة بالكتب الإلكترونية من مستخدمين غير مصرح بهم

4. تنفيذ قواعد SIEM للكشف عن طلبات متعددة سريعة إلى نقطة النهاية الضعيفة



إرشادات التصحيح:

1. مراقبة مستودع المكون للحصول على تحديث أمان (لا يوجد تصحيح متاح حالياً)

2. الاشتراك في قوائم البريد الإلكتروني لأمان WordPress للحصول على إشعار بإصدار التصحيح

3. التخطيط للنشر الفوري للتحديث عند توفره

4. اختبار التصحيح في بيئة التدريج قبل نشره في الإنتاج
📋 خريطة الامتثال التنظيمي
🟢 NCA ECC 2024
ECC 2024 A.5.1.1 - Access Control Policy (missing capability checks) ECC 2024 A.5.2.1 - User Registration and Access Management (unauthenticated access) ECC 2024 A.5.3.1 - Management of Privileged Access Rights (authorization bypass) ECC 2024 A.6.1.1 - Information Classification (unauthorized access to sensitive documents)
🔵 SAMA CSF
SAMA CSF ID.AC-1 - Access Control and Management SAMA CSF PR.AC-1 - Processes and procedures for effective access control SAMA CSF DE.AE-1 - Anomalies and events are detected and analyzed SAMA CSF RC.RP-1 - Recovery plan is executed during or after a cybersecurity incident
🟡 ISO 27001:2022
ISO 27001:2022 A.5.2 - User access management ISO 27001:2022 A.5.3 - Access control ISO 27001:2022 A.8.1 - User endpoint devices ISO 27001:2022 A.8.2 - Privileged access rights
🟣 PCI DSS v4.0.1
PCI DSS 2.1 - Establish configuration standards PCI DSS 6.2 - Ensure security patches are installed PCI DSS 7.1 - Limit access to system components by business need
📊 CVSS Score
5.3
/ 10.0 — متوسط
📊 CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:N
Attack VectorN — None / Network
Attack ComplexityL — Low / Local
Privileges RequiredN — None / Network
User InteractionN — None / Network
ScopeU — Unchanged
ConfidentialityL — Low / Local
IntegrityN — None / Network
AvailabilityN — None / Network
📋 حقائق سريعة
الخطورة متوسط
CVSS Score5.3
CWECWE-862
EPSS1.41%
اختراق متاح لا
تصحيح متاح ✗ لا
تاريخ النشر 2026-04-15
المصدر nvd
المشاهدات 5
🇸🇦 درجة المخاطر السعودية
7.2
/ 10.0 — مخاطر السعودية
أولوية: HIGH
🏷️ الوسوم
CWE-862
⚡ إجراءات
🔗 NVD Official Page ⚡ Exploit-DB Search 🐙 GitHub PoC Search 🎯 MITRE ATT&CK 📊 CVE Details
مشاركة ثغرة
LinkedIn X / Twitter WhatsApp Telegram

💬 التعليقات

0
جارٍ التحميل
📣 وجدت هذا مفيداً؟
شاركه مع شبكة الأمن السيبراني الخاصة بك
in لينكدإن 𝕏 تويتر 💬 واتساب ✈ تليجرام
🍪 إعدادات الخصوصية
سيزو للاستشارات — متوافق مع نظام حماية البيانات الشخصية السعودي (PDPL)
نستخدم ملفات تعريف الارتباط والتقنيات المشابهة لتوفير أفضل تجربة على منصتنا. يمكنك اختيار الأنواع التي تقبلها.
🔒
ملفات ضرورية Always On
مطلوبة لعمل الموقع بشكل صحيح. لا يمكن تعطيلها.
📋 الجلسات، CSRF، المصادقة، تفضيلات اللغة
📊
ملفات التحليلات
تساعدنا في فهم كيفية استخدام الزوار للموقع وتحسين الأداء.
📋 إحصائيات الصفحات، مدة الجلسة، مصدر الزيارة
⚙️
ملفات وظيفية
تتيح ميزات محسنة مثل تخصيص المحتوى والتفضيلات.
📋 السمة المظلمة/الفاتحة، حجم الخط، لوحات التحكم المخصصة
📣
ملفات تسويقية
تُستخدم لتقديم محتوى وإعلانات ذات صلة باهتماماتك.
📋 تتبع الحملات، إعادة الاستهداف، تحليلات وسائل التواصل
سياسة الخصوصية →
مساعد CISO الذكي
اسألني أي شيء · وثائق · دعم
🔐

عرّفنا بنفسك

أدخل بياناتك للوصول إلى المساعد الكامل

معلوماتك آمنة ولن تُشارك
💬
المساعد السيبراني
متصل — يرد في ثوانٍ
5 / 5
🔐 تحقق من هويتك

أدخل بريدك الإلكتروني لإرسال رمز تحقق قبل إرسال طلب الدعم.

Enter للإرسال · / للأوامر 0 / 2000
CISO AI · مدعوم بالذكاء الاصطناعي
✦ استطلاع سريع ساعدنا في تحسين منصة سيزو للاستشارات ملاحظاتك تشكّل مستقبل منصتنا — لا تستغرق سوى دقيقتين.
⚠ يرجى الإجابة على هذا السؤال للمتابعة

كيف تقيّم تجربتك العامة مع منصتنا؟

قيّم من 1 (ضعيف) إلى 5 (ممتاز)

🎉
شكراً جزيلاً!
تم تسجيل إجابتك بنجاح.