📧 info@ciso.sa | 📱 +966550939344 | الرياض، المملكة العربية السعودية
عن المنصة الأسئلة الشائعة اتصل بنا شروط الخدمة سياسة الخصوصية 🌐 English
🔐

مرحباً — سجّل دخولك أو أنشئ حساباً للوصول الكامل.

🔑 دخول ✨ حساب جديد
🌐 EN تسجيل الدخول إنشاء حساب
🔧 صيانة مجدولة — السبت 2:00-4:00 صباحاً. قد تكون بعض الميزات غير متاحة مؤقتاً.    ●   
💎
خطة Pro بخصم 50% احصل على جميع ميزات AI والتقارير غير المحدودة والدعم ذي الأولوية. الترقية الآن
مركز البحث
ESC للإغلاق
تنقل فتح Ctrl+K بحث
CISO Consulting
Global general قطاع التكنولوجيا والذكاء الاصطناعي MEDIUM 3h Global general قطاع التكنولوجيا والذكاء الاصطناعي HIGH 4h Global vulnerability التعليم العالي CRITICAL 13h Global data_breach القطاع الحكومي HIGH 14h Global supply_chain تطوير البرمجيات والمجتمعات مفتوحة المصدر CRITICAL 14h Global malware تطوير البرمجيات CRITICAL 14h Global phishing قطاعات متعددة HIGH 15h Global vulnerability تطبيقات الويب CRITICAL 15h Global apt البنية التحتية الحرجة CRITICAL 15h Global ransomware قطاعات متعددة CRITICAL 16h Global general قطاع التكنولوجيا والذكاء الاصطناعي MEDIUM 3h Global general قطاع التكنولوجيا والذكاء الاصطناعي HIGH 4h Global vulnerability التعليم العالي CRITICAL 13h Global data_breach القطاع الحكومي HIGH 14h Global supply_chain تطوير البرمجيات والمجتمعات مفتوحة المصدر CRITICAL 14h Global malware تطوير البرمجيات CRITICAL 14h Global phishing قطاعات متعددة HIGH 15h Global vulnerability تطبيقات الويب CRITICAL 15h Global apt البنية التحتية الحرجة CRITICAL 15h Global ransomware قطاعات متعددة CRITICAL 16h Global general قطاع التكنولوجيا والذكاء الاصطناعي MEDIUM 3h Global general قطاع التكنولوجيا والذكاء الاصطناعي HIGH 4h Global vulnerability التعليم العالي CRITICAL 13h Global data_breach القطاع الحكومي HIGH 14h Global supply_chain تطوير البرمجيات والمجتمعات مفتوحة المصدر CRITICAL 14h Global malware تطوير البرمجيات CRITICAL 14h Global phishing قطاعات متعددة HIGH 15h Global vulnerability تطبيقات الويب CRITICAL 15h Global apt البنية التحتية الحرجة CRITICAL 15h Global ransomware قطاعات متعددة CRITICAL 16h
الثغرات

CVE-2026-1483

مرتفع
An out-of-band SQL injection vulnerability (OOB SQLi) has been detected in the Performance Evaluation (EDD) application developed by Gabinete Técnico de Programación. Exploiting this vulnerability in
CWE-89 — نوع الضعف
نُشر: Jan 27, 2026  ·  آخر تحديث: Feb 28, 2026  ·  المصدر: NVD
CVSS v3
7.5
🔗 NVD الرسمي
📄 الوصف (الإنجليزية)

An out-of-band SQL injection vulnerability (OOB SQLi) has been detected in the Performance Evaluation (EDD) application developed by Gabinete Técnico de Programación. Exploiting this vulnerability in the parameter 'Id_usuario' in '/evaluacion_objetivos_ver_auto.aspx', could allow an attacker to extract sensitive information from the database through external channels, without the affected application returning the data directly, compromising the confidentiality of the stored information.

🤖 ملخص AI

CVE-2026-1483 is a high-severity out-of-band SQL injection vulnerability in the Performance Evaluation (EDD) application affecting the 'Id_usuario' parameter. This vulnerability allows attackers to extract sensitive database information through external channels without direct application feedback, posing significant confidentiality risks. A patch is available and should be deployed immediately to prevent unauthorized data exfiltration.

📄 الوصف (العربية)

🤖 التحليل الذكي آخر تحليل: May 3, 2026 12:20
🇸🇦 التأثير على المملكة العربية السعودية
This vulnerability poses significant risk to Saudi government entities and public sector organizations that utilize the EDD application for employee performance evaluation. Government ministries, particularly those under the National Center for Assessment (NCA) oversight, are at high risk. Additionally, large Saudi enterprises and financial institutions using this application for HR management could face data breaches exposing employee personal information, salary data, and performance records. The out-of-band nature of the attack makes detection challenging, increasing the window of exposure for sensitive government and corporate data.
🏢 القطاعات السعودية المتأثرة
Government Public Sector Banking and Financial Services Healthcare Large Enterprises Human Resources Management
⚖️ درجة المخاطر السعودية (AI)
7.8
/ 10.0
🔧 Remediation Steps (English)
1. IMMEDIATE ACTIONS:

   - Identify all instances of the EDD application (Evaluacion de Desempeno) in your environment

   - Isolate affected systems from external network access if possible

   - Enable enhanced logging and monitoring on the '/evaluacion_objetivos_ver_auto.aspx' endpoint

   - Review access logs for suspicious activity targeting the 'Id_usuario' parameter



2. PATCHING GUIDANCE:

   - Apply the available patch from Quatuor/Gabinete Técnico de Programación immediately

   - Test patch in non-production environment first

   - Schedule maintenance window for production deployment within 48-72 hours

   - Verify patch application by checking application version and security headers



3. COMPENSATING CONTROLS (if patching delayed):

   - Implement Web Application Firewall (WAF) rules to block SQL injection patterns in 'Id_usuario' parameter

   - Apply input validation and parameterized query enforcement at application level

   - Restrict database user permissions to minimum required privileges

   - Implement database activity monitoring (DAM) to detect unusual query patterns

   - Disable out-of-band communication channels (DNS, HTTP callbacks) from application servers



4. DETECTION RULES:

   - Monitor for SQL keywords (UNION, SELECT, EXEC, etc.) in 'Id_usuario' parameter

   - Alert on unusual DNS queries from application servers

   - Track database connections with unusual query patterns

   - Monitor for time-based SQL injection indicators (delayed responses)

   - Log all access to '/evaluacion_objetivos_ver_auto.aspx' endpoint
🔧 خطوات المعالجة (العربية)
1. الإجراءات الفورية:

   - تحديد جميع نسخ تطبيق EDD (تقييم الأداء) في بيئتك

   - عزل الأنظمة المتأثرة عن الوصول الخارجي إن أمكن

   - تفعيل السجلات والمراقبة المحسنة على نقطة النهاية '/evaluacion_objetivos_ver_auto.aspx'

   - مراجعة سجلات الوصول للنشاط المريب الموجه نحو معامل 'Id_usuario'



2. إرشادات التصحيح:

   - تطبيق التصحيح المتاح من Quatuor/Gabinete Técnico de Programación فوراً

   - اختبار التصحيح في بيئة غير الإنتاج أولاً

   - جدولة نافذة صيانة لنشر الإنتاج خلال 48-72 ساعة

   - التحقق من تطبيق التصحيح بفحص إصدار التطبيق ورؤوس الأمان



3. الضوابط البديلة (إذا تأخر التصحيح):

   - تطبيق قواعد جدار حماية تطبيقات الويب (WAF) لحجب أنماط حقن SQL في معامل 'Id_usuario'

   - تطبيق التحقق من الإدخال وفرض الاستعلامات المعاملة على مستوى التطبيق

   - تقييد أذونات مستخدم قاعدة البيانات بالحد الأدنى المطلوب

   - تطبيق مراقبة نشاط قاعدة البيانات (DAM) للكشف عن أنماط الاستعلام غير العادية

   - تعطيل قنوات الاتصال خارج النطاق (DNS، HTTP callbacks) من خوادم التطبيق



4. قواعد الكشف:

   - مراقبة كلمات SQL الرئيسية (UNION، SELECT، EXEC، إلخ) في معامل 'Id_usuario'

   - التنبيه على استعلامات DNS غير العادية من خوادم التطبيق

   - تتبع اتصالات قاعدة البيانات بأنماط استعلام غير عادية

   - مراقبة مؤشرات حقن SQL المستندة إلى الوقت (الاستجابات المتأخرة)

   - تسجيل جميع الوصول إلى نقطة النهاية '/evaluacion_objetivos_ver_auto.aspx'
📋 خريطة الامتثال التنظيمي
🟢 NCA ECC 2024
ECC 2024 A.14.2.1 - Information security requirements analysis and specification ECC 2024 A.14.2.5 - Secure development environment ECC 2024 A.14.3.1 - Secure coding practices ECC 2024 A.14.4.4 - Security testing during development
🔵 SAMA CSF
SAMA CSF ID.GV-1 - Organizational cybersecurity policy established SAMA CSF PR.DS-6 - Data is protected with appropriate access controls SAMA CSF DE.CM-1 - The network is monitored to detect potential cybersecurity events SAMA CSF RS.MI-2 - Incidents are mitigated
🟡 ISO 27001:2022
ISO 27001:2022 A.5.23 - Information security for supplier relationships ISO 27001:2022 A.8.22 - Monitoring activities ISO 27001:2022 A.8.23 - Administrator and operator logs ISO 27001:2022 A.14.2.1 - Information security requirements
🟣 PCI DSS v4.0.1
PCI DSS 6.5.1 - Injection flaws prevention PCI DSS 6.2 - Security patches installation PCI DSS 10.2 - User access logging and monitoring
📦 المنتجات المتأثرة 1 منتج
quatuor:evaluacion_de_desempeno:-
📊 CVSS Score
7.5
/ 10.0 — مرتفع
📊 CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N
Attack VectorN — None / Network
Attack ComplexityL — Low / Local
Privileges RequiredN — None / Network
User InteractionN — None / Network
ScopeU — Unchanged
ConfidentialityH — High
IntegrityN — None / Network
AvailabilityN — None / Network
📋 حقائق سريعة
الخطورة مرتفع
CVSS Score7.5
CWECWE-89
EPSS0.03%
اختراق متاح لا
تصحيح متاح ✓ نعم
تاريخ النشر 2026-01-27
المصدر nvd
المشاهدات 6
🇸🇦 درجة المخاطر السعودية
7.8
/ 10.0 — مخاطر السعودية
أولوية: CRITICAL
🏷️ الوسوم
CWE-89
⚡ إجراءات
🔗 NVD Official Page ⚡ Exploit-DB Search 🐙 GitHub PoC Search 🎯 MITRE ATT&CK 📊 CVE Details
مشاركة ثغرة
LinkedIn X / Twitter WhatsApp Telegram

💬 التعليقات

0
جارٍ التحميل
📣 وجدت هذا مفيداً؟
شاركه مع شبكة الأمن السيبراني الخاصة بك
in لينكدإن 𝕏 تويتر 💬 واتساب ✈ تليجرام
🍪 إعدادات الخصوصية
سيزو للاستشارات — متوافق مع نظام حماية البيانات الشخصية السعودي (PDPL)
نستخدم ملفات تعريف الارتباط والتقنيات المشابهة لتوفير أفضل تجربة على منصتنا. يمكنك اختيار الأنواع التي تقبلها.
🔒
ملفات ضرورية Always On
مطلوبة لعمل الموقع بشكل صحيح. لا يمكن تعطيلها.
📋 الجلسات، CSRF، المصادقة، تفضيلات اللغة
📊
ملفات التحليلات
تساعدنا في فهم كيفية استخدام الزوار للموقع وتحسين الأداء.
📋 إحصائيات الصفحات، مدة الجلسة، مصدر الزيارة
⚙️
ملفات وظيفية
تتيح ميزات محسنة مثل تخصيص المحتوى والتفضيلات.
📋 السمة المظلمة/الفاتحة، حجم الخط، لوحات التحكم المخصصة
📣
ملفات تسويقية
تُستخدم لتقديم محتوى وإعلانات ذات صلة باهتماماتك.
📋 تتبع الحملات، إعادة الاستهداف، تحليلات وسائل التواصل
سياسة الخصوصية →
مساعد CISO الذكي
اسألني أي شيء · وثائق · دعم
🔐

عرّفنا بنفسك

أدخل بياناتك للوصول إلى المساعد الكامل

معلوماتك آمنة ولن تُشارك
💬
المساعد السيبراني
متصل — يرد في ثوانٍ
5 / 5
🔐 تحقق من هويتك

أدخل بريدك الإلكتروني لإرسال رمز تحقق قبل إرسال طلب الدعم.

Enter للإرسال · / للأوامر 0 / 2000
CISO AI · مدعوم بالذكاء الاصطناعي
✦ استطلاع سريع ساعدنا في تحسين منصة سيزو للاستشارات ملاحظاتك تشكّل مستقبل منصتنا — لا تستغرق سوى دقيقتين.
⚠ يرجى الإجابة على هذا السؤال للمتابعة

كيف تقيّم تجربتك العامة مع منصتنا؟

قيّم من 1 (ضعيف) إلى 5 (ممتاز)

🎉
شكراً جزيلاً!
تم تسجيل إجابتك بنجاح.