📧 info@ciso.sa | 📱 +966550939344 | الرياض، المملكة العربية السعودية
عن المنصة الأسئلة الشائعة اتصل بنا شروط الخدمة سياسة الخصوصية 🌐 English
🔐

مرحباً — سجّل دخولك أو أنشئ حساباً للوصول الكامل.

🔑 دخول ✨ حساب جديد
🌐 EN تسجيل الدخول إنشاء حساب
🔧 صيانة مجدولة — السبت 2:00-4:00 صباحاً. قد تكون بعض الميزات غير متاحة مؤقتاً.    ●   
💎
خطة Pro بخصم 50% احصل على جميع ميزات AI والتقارير غير المحدودة والدعم ذي الأولوية. الترقية الآن
مركز البحث
ESC للإغلاق
تنقل فتح Ctrl+K بحث
CISO Consulting
Global general قطاع التكنولوجيا والذكاء الاصطناعي MEDIUM 1h Global general قطاع التكنولوجيا والذكاء الاصطناعي HIGH 2h Global vulnerability التعليم العالي CRITICAL 11h Global data_breach القطاع الحكومي HIGH 12h Global supply_chain تطوير البرمجيات والمجتمعات مفتوحة المصدر CRITICAL 12h Global malware تطوير البرمجيات CRITICAL 12h Global phishing قطاعات متعددة HIGH 12h Global vulnerability تطبيقات الويب CRITICAL 13h Global apt البنية التحتية الحرجة CRITICAL 13h Global ransomware قطاعات متعددة CRITICAL 13h Global general قطاع التكنولوجيا والذكاء الاصطناعي MEDIUM 1h Global general قطاع التكنولوجيا والذكاء الاصطناعي HIGH 2h Global vulnerability التعليم العالي CRITICAL 11h Global data_breach القطاع الحكومي HIGH 12h Global supply_chain تطوير البرمجيات والمجتمعات مفتوحة المصدر CRITICAL 12h Global malware تطوير البرمجيات CRITICAL 12h Global phishing قطاعات متعددة HIGH 12h Global vulnerability تطبيقات الويب CRITICAL 13h Global apt البنية التحتية الحرجة CRITICAL 13h Global ransomware قطاعات متعددة CRITICAL 13h Global general قطاع التكنولوجيا والذكاء الاصطناعي MEDIUM 1h Global general قطاع التكنولوجيا والذكاء الاصطناعي HIGH 2h Global vulnerability التعليم العالي CRITICAL 11h Global data_breach القطاع الحكومي HIGH 12h Global supply_chain تطوير البرمجيات والمجتمعات مفتوحة المصدر CRITICAL 12h Global malware تطوير البرمجيات CRITICAL 12h Global phishing قطاعات متعددة HIGH 12h Global vulnerability تطبيقات الويب CRITICAL 13h Global apt البنية التحتية الحرجة CRITICAL 13h Global ransomware قطاعات متعددة CRITICAL 13h
الثغرات

CVE-2026-24136

مرتفع
Saleor is an e-commerce platform. Versions 3.2.0 through 3.20.109, 3.21.0-a.0 through 3.21.44 and 3.22.0-a.0 through 3.22.28 have a n Insecure Direct Object Reference (IDOR) vulnerability that allows
CWE-639 — نوع الضعف
نُشر: Jan 24, 2026  ·  آخر تحديث: Feb 28, 2026  ·  المصدر: NVD
CVSS v3
7.5
🔗 NVD الرسمي
📄 الوصف (الإنجليزية)

Saleor is an e-commerce platform. Versions 3.2.0 through 3.20.109, 3.21.0-a.0 through 3.21.44 and 3.22.0-a.0 through 3.22.28 have a n Insecure Direct Object Reference (IDOR) vulnerability that allows unauthenticated actors to extract sensitive information in plain text. Orders created before Saleor 3.2.0 could have PIIs exfiltrated. The issue has been patched in Saleor versions: 3.22.29, 3.21.45, and 3.20.110. To workaround, temporarily block non-staff users from fetching order information (the order() GraphQL query) using a WAF.

🤖 ملخص AI

Saleor e-commerce platform versions 3.2.0-3.20.109, 3.21.0-3.21.44, and 3.22.0-3.22.28 contain an Insecure Direct Object Reference (IDOR) vulnerability allowing unauthenticated attackers to extract sensitive customer information including Personally Identifiable Information (PII) in plain text. This vulnerability affects orders across multiple versions and poses significant risk to Saudi e-commerce operators handling customer data. Patches are available and immediate patching is strongly recommended.

📄 الوصف (العربية)

🤖 التحليل الذكي آخر تحليل: May 4, 2026 14:16
🇸🇦 التأثير على المملكة العربية السعودية
Saudi e-commerce operators, particularly those in retail, fashion, and online marketplaces (Noon, Zando, local SME retailers) are at high risk. Financial impact includes potential exposure of customer PII (names, addresses, phone numbers, email addresses, order history), leading to regulatory fines under PDPL (Personal Data Protection Law), reputational damage, and customer trust erosion. Banking and payment sectors are indirectly affected if integrated with vulnerable Saleor instances. Government e-commerce initiatives and digital transformation projects using Saleor are also at risk. SAMA-regulated fintech companies offering e-commerce solutions face compliance violations.
🏢 القطاعات السعودية المتأثرة
E-commerce and Retail Banking and Financial Services Government and Public Sector Telecommunications Healthcare (if using Saleor for medical supplies) Logistics and Supply Chain SME Digital Transformation Initiatives
⚖️ درجة المخاطر السعودية (AI)
8.2
/ 10.0
🔧 Remediation Steps (English)
IMMEDIATE ACTIONS:

1. Identify all Saleor instances in your environment and verify versions against affected ranges (3.2.0-3.20.109, 3.21.0-3.21.44, 3.22.0-3.22.28)

2. Implement WAF rules to block non-staff users from accessing the order() GraphQL query endpoint immediately as temporary mitigation

3. Audit access logs for suspicious order data extraction attempts (GraphQL queries to order() endpoint from non-authenticated sources)

4. Notify customers if PII exposure is confirmed; prepare breach notification per PDPL requirements



PATCHING GUIDANCE:

1. Upgrade to patched versions: 3.22.29, 3.21.45, or 3.20.110 depending on current version

2. Test patches in staging environment before production deployment

3. Schedule maintenance window for patching (coordinate with business stakeholders)

4. Verify patch application by confirming version numbers post-upgrade



COMPENSATING CONTROLS (if patching delayed):

1. Implement strict WAF rules blocking GraphQL order() queries from non-authenticated users

2. Enable API rate limiting on GraphQL endpoints

3. Implement IP whitelisting for order query access

4. Deploy API gateway authentication enforcement

5. Monitor GraphQL query logs for anomalous patterns



DETECTION RULES:

1. Alert on GraphQL order() queries from unauthenticated sources

2. Monitor for bulk order ID enumeration attempts (sequential ID requests)

3. Track failed authentication attempts followed by order query attempts

4. Log and alert on unusual geographic access patterns to order data
🔧 خطوات المعالجة (العربية)
الإجراءات الفورية:

1. حدد جميع مثيلات Saleor في بيئتك وتحقق من الإصدارات مقابل النطاقات المتأثرة (3.2.0-3.20.109، 3.21.0-3.21.44، 3.22.0-3.22.28)

2. طبق قواعد WAF لحظر المستخدمين غير الموظفين من الوصول إلى نقطة نهاية GraphQL للطلب فوراً كتخفيف مؤقت

3. قم بتدقيق سجلات الوصول لمحاولات استخراج بيانات الطلبات المريبة (استعلامات GraphQL إلى نقطة الطلب من مصادر غير مصرح لها)

4. أخطر العملاء إذا تم تأكيد تعرض البيانات الشخصية؛ جهز إشعار الانتهاك وفقاً لمتطلبات قانون حماية البيانات الشخصية



إرشادات التصحيح:

1. قم بالترقية إلى الإصدارات المصححة: 3.22.29 أو 3.21.45 أو 3.20.110 حسب الإصدار الحالي

2. اختبر التصحيحات في بيئة التجريب قبل نشر الإنتاج

3. جدول نافذة صيانة للتصحيح (تنسيق مع أصحاب المصلحة في الأعمال)

4. تحقق من تطبيق التصحيح بتأكيد أرقام الإصدارات بعد الترقية



الضوابط البديلة (إذا تأخر التصحيح):

1. طبق قواعد WAF صارمة تحظر استعلامات GraphQL للطلب من مستخدمين غير مصرح لهم

2. فعّل تحديد معدل API على نقاط نهاية GraphQL

3. طبق القائمة البيضاء للعناوين IP لوصول استعلام الطلب

4. نشر فرض المصادقة على بوابة API

5. راقب سجلات استعلام GraphQL للأنماط الشاذة



قواعد الكشف:

1. تنبيه على استعلامات GraphQL للطلب من مصادر غير مصرح لها

2. مراقبة محاولات تعداد معرف الطلب الضخمة (طلبات معرف متسلسلة)

3. تتبع محاولات المصادقة الفاشلة متبوعة بمحاولات استعلام الطلب

4. تسجيل والتنبيه على أنماط الوصول الجغرافية غير المعتادة لبيانات الطلب
📋 خريطة الامتثال التنظيمي
🟢 NCA ECC 2024
ECC 2024 A.5.1.1 - Access Control: Unauthorized access to customer order data violates access control requirements ECC 2024 A.5.2.1 - User Authentication: IDOR allows unauthenticated access, violating authentication controls ECC 2024 A.6.1.2 - Confidentiality: PII exposure violates data confidentiality requirements ECC 2024 A.7.1.1 - Audit Logging: Insufficient logging of unauthorized access attempts
🔵 SAMA CSF
SAMA CSF ID.AM-1: Asset Management - Identify and manage e-commerce systems using Saleor SAMA CSF PR.AC-1: Access Control - Implement proper authentication and authorization SAMA CSF PR.DS-1: Data Security - Protect customer PII from unauthorized disclosure SAMA CSF DE.AE-1: Anomalies and Events - Detect unauthorized order data access attempts SAMA CSF RC.RP-1: Response Planning - Prepare incident response for data breach scenarios
🟡 ISO 27001:2022
ISO 27001:2022 A.5.2 - User Access Management: Inadequate access controls allowing IDOR ISO 27001:2022 A.5.3 - Access Control: Insufficient authentication mechanisms ISO 27001:2022 A.8.2 - Confidentiality: PII exposure violates confidentiality objectives ISO 27001:2022 A.8.3 - Integrity: Unauthorized access to order data affects integrity ISO 27001:2022 A.12.4 - Logging: Insufficient audit trails for unauthorized access
🟣 PCI DSS v4.0.1
PCI DSS 1.1 - Firewall Configuration: WAF rules required to block unauthorized order queries PCI DSS 2.1 - Default Credentials: Ensure Saleor instances use strong authentication PCI DSS 6.5.1 - Injection Flaws: GraphQL IDOR is an authorization bypass vulnerability PCI DSS 7.1 - Access Control: Restrict order data access to authorized personnel only PCI DSS 10.2 - Logging: Log all access attempts to order data for audit purposes
📦 المنتجات المتأثرة 3 منتج
saleor:saleor
saleor:saleor
saleor:saleor
📊 CVSS Score
7.5
/ 10.0 — مرتفع
📊 CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N
Attack VectorN — None / Network
Attack ComplexityL — Low / Local
Privileges RequiredN — None / Network
User InteractionN — None / Network
ScopeU — Unchanged
ConfidentialityH — High
IntegrityN — None / Network
AvailabilityN — None / Network
📋 حقائق سريعة
الخطورة مرتفع
CVSS Score7.5
CWECWE-639
EPSS0.04%
اختراق متاح لا
تصحيح متاح ✓ نعم
تاريخ النشر 2026-01-24
المصدر nvd
المشاهدات 6
🇸🇦 درجة المخاطر السعودية
8.2
/ 10.0 — مخاطر السعودية
أولوية: CRITICAL
🏷️ الوسوم
patch-available CWE-639
🏢 توجيهات البائع
🔗 https://github.com/saleor/saleor/security/advisories...
⚡ إجراءات
🔗 NVD Official Page ⚡ Exploit-DB Search 🐙 GitHub PoC Search 🎯 MITRE ATT&CK 📊 CVE Details
مشاركة ثغرة
LinkedIn X / Twitter WhatsApp Telegram

💬 التعليقات

0
جارٍ التحميل
📣 وجدت هذا مفيداً؟
شاركه مع شبكة الأمن السيبراني الخاصة بك
in لينكدإن 𝕏 تويتر 💬 واتساب ✈ تليجرام
🍪 إعدادات الخصوصية
سيزو للاستشارات — متوافق مع نظام حماية البيانات الشخصية السعودي (PDPL)
نستخدم ملفات تعريف الارتباط والتقنيات المشابهة لتوفير أفضل تجربة على منصتنا. يمكنك اختيار الأنواع التي تقبلها.
🔒
ملفات ضرورية Always On
مطلوبة لعمل الموقع بشكل صحيح. لا يمكن تعطيلها.
📋 الجلسات، CSRF، المصادقة، تفضيلات اللغة
📊
ملفات التحليلات
تساعدنا في فهم كيفية استخدام الزوار للموقع وتحسين الأداء.
📋 إحصائيات الصفحات، مدة الجلسة، مصدر الزيارة
⚙️
ملفات وظيفية
تتيح ميزات محسنة مثل تخصيص المحتوى والتفضيلات.
📋 السمة المظلمة/الفاتحة، حجم الخط، لوحات التحكم المخصصة
📣
ملفات تسويقية
تُستخدم لتقديم محتوى وإعلانات ذات صلة باهتماماتك.
📋 تتبع الحملات، إعادة الاستهداف، تحليلات وسائل التواصل
سياسة الخصوصية →
مساعد CISO الذكي
اسألني أي شيء · وثائق · دعم
🔐

عرّفنا بنفسك

أدخل بياناتك للوصول إلى المساعد الكامل

معلوماتك آمنة ولن تُشارك
💬
المساعد السيبراني
متصل — يرد في ثوانٍ
5 / 5
🔐 تحقق من هويتك

أدخل بريدك الإلكتروني لإرسال رمز تحقق قبل إرسال طلب الدعم.

Enter للإرسال · / للأوامر 0 / 2000
CISO AI · مدعوم بالذكاء الاصطناعي
✦ استطلاع سريع ساعدنا في تحسين منصة سيزو للاستشارات ملاحظاتك تشكّل مستقبل منصتنا — لا تستغرق سوى دقيقتين.
⚠ يرجى الإجابة على هذا السؤال للمتابعة

كيف تقيّم تجربتك العامة مع منصتنا؟

قيّم من 1 (ضعيف) إلى 5 (ممتاز)

🎉
شكراً جزيلاً!
تم تسجيل إجابتك بنجاح.