📧 info@ciso.sa | 📱 +966550939344 | الرياض، المملكة العربية السعودية
عن المنصة الأسئلة الشائعة اتصل بنا شروط الخدمة سياسة الخصوصية 🌐 English
🔐

مرحباً — سجّل دخولك أو أنشئ حساباً للوصول الكامل.

🔑 دخول ✨ حساب جديد
🌐 EN تسجيل الدخول إنشاء حساب
🔧 صيانة مجدولة — السبت 2:00-4:00 صباحاً. قد تكون بعض الميزات غير متاحة مؤقتاً.    ●   
💎
خطة Pro بخصم 50% احصل على جميع ميزات AI والتقارير غير المحدودة والدعم ذي الأولوية. الترقية الآن
مركز البحث
ESC للإغلاق
تنقل فتح Ctrl+K بحث
CISO Consulting
Global insider التعليم HIGH 2h Global supply_chain تطوير البرمجيات والتكنولوجيا HIGH 7h Global apt الحكومة والبنية التحتية الحرجة CRITICAL 9h Global vulnerability برامج المؤسسات / تحليل البيانات CRITICAL 9h Global vulnerability الذكاء الاصطناعي والتكنولوجيا HIGH 13h Global general قطاع التكنولوجيا والذكاء الاصطناعي MEDIUM 16h Global general قطاع التكنولوجيا والذكاء الاصطناعي HIGH 17h Global vulnerability التعليم العالي CRITICAL 1d Global data_breach القطاع الحكومي HIGH 1d Global supply_chain تطوير البرمجيات والمجتمعات مفتوحة المصدر CRITICAL 1d Global insider التعليم HIGH 2h Global supply_chain تطوير البرمجيات والتكنولوجيا HIGH 7h Global apt الحكومة والبنية التحتية الحرجة CRITICAL 9h Global vulnerability برامج المؤسسات / تحليل البيانات CRITICAL 9h Global vulnerability الذكاء الاصطناعي والتكنولوجيا HIGH 13h Global general قطاع التكنولوجيا والذكاء الاصطناعي MEDIUM 16h Global general قطاع التكنولوجيا والذكاء الاصطناعي HIGH 17h Global vulnerability التعليم العالي CRITICAL 1d Global data_breach القطاع الحكومي HIGH 1d Global supply_chain تطوير البرمجيات والمجتمعات مفتوحة المصدر CRITICAL 1d Global insider التعليم HIGH 2h Global supply_chain تطوير البرمجيات والتكنولوجيا HIGH 7h Global apt الحكومة والبنية التحتية الحرجة CRITICAL 9h Global vulnerability برامج المؤسسات / تحليل البيانات CRITICAL 9h Global vulnerability الذكاء الاصطناعي والتكنولوجيا HIGH 13h Global general قطاع التكنولوجيا والذكاء الاصطناعي MEDIUM 16h Global general قطاع التكنولوجيا والذكاء الاصطناعي HIGH 17h Global vulnerability التعليم العالي CRITICAL 1d Global data_breach القطاع الحكومي HIGH 1d Global supply_chain تطوير البرمجيات والمجتمعات مفتوحة المصدر CRITICAL 1d
الثغرات

CVE-2026-25646

مرتفع ⚡ اختراق متاح
LIBPNG is a reference library for use in applications that read, create, and manipulate PNG (Portable Network Graphics) raster image files. Prior to 1.6.55, an out-of-bounds read vulnerability exists
CWE-122 — نوع الضعف
نُشر: Feb 10, 2026  ·  آخر تحديث: Feb 28, 2026  ·  المصدر: NVD
CVSS v3
8.1
🔗 NVD الرسمي
📄 الوصف (الإنجليزية)

LIBPNG is a reference library for use in applications that read, create, and manipulate PNG (Portable Network Graphics) raster image files. Prior to 1.6.55, an out-of-bounds read vulnerability exists in the png_set_quantize() API function. When the function is called with no histogram and the number of colors in the palette is more than twice the maximum supported by the user's display, certain palettes will cause the function to enter into an infinite loop that reads past the end of an internal heap-allocated buffer. The images that trigger this vulnerability are valid per the PNG specification. This vulnerability is fixed in 1.6.55.

🤖 ملخص AI

A critical out-of-bounds read vulnerability in libpng versions prior to 1.6.55 allows attackers to trigger infinite loops and memory disclosure through specially crafted PNG images with specific palette configurations. The vulnerability affects the png_set_quantize() API function and has publicly available exploits. Organizations using libpng in image processing, document management, or web applications must prioritize immediate patching to prevent denial-of-service attacks and potential information leakage.

📄 الوصف (العربية)

🤖 التحليل الذكي آخر تحليل: Apr 26, 2026 09:03
🇸🇦 التأثير على المملكة العربية السعودية
Saudi organizations in banking (SAMA-regulated institutions), government agencies (NCA oversight), healthcare systems (MOH), and telecommunications (STC, Mobily) are at significant risk. Image processing systems used in document digitization, medical imaging platforms, and web applications serving Saudi users are particularly vulnerable. The exploit availability increases risk for organizations with public-facing image upload services. Energy sector (ARAMCO) systems processing PNG-based technical documentation could be impacted.
🏢 القطاعات السعودية المتأثرة
Banking and Financial Services Government and Public Administration Healthcare and Medical Imaging Telecommunications Energy and Utilities Document Management and Digitization E-commerce and Retail
⚖️ درجة المخاطر السعودية (AI)
7.8
/ 10.0
🔧 Remediation Steps (English)
IMMEDIATE ACTIONS:

1. Identify all systems using libpng versions prior to 1.6.55 through software inventory and dependency scanning

2. Disable or restrict access to image upload/processing features if immediate patching is not possible

3. Implement input validation to reject PNG files with palette configurations exceeding twice the display color limit



PATCHING GUIDANCE:

1. Upgrade libpng to version 1.6.55 or later across all affected systems

2. Recompile dependent applications after libpng upgrade

3. Test image processing workflows post-patch to ensure functionality

4. Prioritize production systems and public-facing applications



COMPENSATING CONTROLS (if patching delayed):

1. Implement strict PNG file validation before processing

2. Run image processing in isolated containers with resource limits (memory, CPU timeouts)

3. Monitor for infinite loop conditions and implement watchdog timers

4. Restrict png_set_quantize() API usage to trusted internal processes only



DETECTION RULES:

1. Monitor for PNG files with palette entries > 2x display color maximum

2. Alert on excessive memory consumption during image processing

3. Track libpng version usage: grep -r 'libpng' /usr/lib* | grep -v '1.6.55'

4. Log all png_set_quantize() function calls in applications using libpng
🔧 خطوات المعالجة (العربية)
الإجراءات الفورية:

1. تحديد جميع الأنظمة التي تستخدم إصدارات libpng السابقة للإصدار 1.6.55 من خلال مسح المخزون والمكتبات

2. تعطيل أو تقييد الوصول إلى ميزات تحميل/معالجة الصور إذا لم يكن التصحيح الفوري ممكناً

3. تنفيذ التحقق من صحة المدخلات لرفض ملفات PNG بتكوينات لوحة ألوان تتجاوز حد اللون المعروض



إرشادات التصحيح:

1. ترقية libpng إلى الإصدار 1.6.55 أو أحدث عبر جميع الأنظمة المتأثرة

2. إعادة تجميع التطبيقات التابعة بعد ترقية libpng

3. اختبار سير عمل معالجة الصور بعد التصحيح

4. إعطاء الأولوية للأنظمة الإنتاجية والتطبيقات المتاحة للعموم



الضوابط البديلة (إذا تأخر التصحيح):

1. تنفيذ التحقق الصارم من ملفات PNG قبل المعالجة

2. تشغيل معالجة الصور في حاويات معزولة مع حدود الموارد

3. مراقبة ظروف الحلقة اللانهائية وتنفيذ مؤقتات الحراسة

4. تقييد استخدام دالة png_set_quantize() للعمليات الداخلية الموثوقة فقط



قواعد الكشف:

1. مراقبة ملفات PNG بإدخالات لوحة ألوان > 2x حد اللون المعروض

2. تنبيه على استهلاك الذاكرة المفرط أثناء معالجة الصور

3. تتبع استخدام إصدار libpng

4. تسجيل جميع استدعاءات دالة png_set_quantize()
📋 خريطة الامتثال التنظيمي
🟢 NCA ECC 2024
ECC 2024 A.12.6.1 - Management of technical vulnerabilities ECC 2024 A.14.2.1 - Secure development policy ECC 2024 A.12.3.1 - Configuration management
🔵 SAMA CSF
ID.RA-1 - Asset management and vulnerability identification PR.IP-12 - Software development and supply chain security DE.CM-8 - Vulnerability scans and assessments
🟡 ISO 27001:2022
A.12.3.1 - Configuration management A.12.6.1 - Management of technical vulnerabilities A.14.2.1 - Secure development policy and procedures
🟣 PCI DSS v4.0.1
Requirement 6.2 - Security patches and updates Requirement 11.2 - Vulnerability scanning
📦 المنتجات المتأثرة 1 منتج
libpng:libpng
📊 CVSS Score
8.1
/ 10.0 — مرتفع
📊 CVSS Vector
CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:H
Attack VectorN — None / Network
Attack ComplexityH — High
Privileges RequiredN — None / Network
User InteractionN — None / Network
ScopeU — Unchanged
ConfidentialityH — High
IntegrityH — High
AvailabilityH — High
📋 حقائق سريعة
الخطورة مرتفع
CVSS Score8.1
CWECWE-122
EPSS0.06%
اختراق متاح ✓ نعم
تصحيح متاح ✓ نعم
تاريخ النشر 2026-02-10
المصدر nvd
المشاهدات 6
🇸🇦 درجة المخاطر السعودية
7.8
/ 10.0 — مخاطر السعودية
أولوية: HIGH
🏷️ الوسوم
exploit-available patch-available CWE-122
🏢 توجيهات البائع
🔗 https://github.com/pnggroup/libpng/security/advisori... 🔗 https://github.com/pnggroup/libpng/security/advisori...
⚡ إجراءات
🔗 NVD Official Page ⚡ Exploit-DB Search 🐙 GitHub PoC Search 🎯 MITRE ATT&CK 📊 CVE Details
مشاركة ثغرة
LinkedIn X / Twitter WhatsApp Telegram

💬 التعليقات

0
جارٍ التحميل
📣 وجدت هذا مفيداً؟
شاركه مع شبكة الأمن السيبراني الخاصة بك
in لينكدإن 𝕏 تويتر 💬 واتساب ✈ تليجرام
🍪 إعدادات الخصوصية
سيزو للاستشارات — متوافق مع نظام حماية البيانات الشخصية السعودي (PDPL)
نستخدم ملفات تعريف الارتباط والتقنيات المشابهة لتوفير أفضل تجربة على منصتنا. يمكنك اختيار الأنواع التي تقبلها.
🔒
ملفات ضرورية Always On
مطلوبة لعمل الموقع بشكل صحيح. لا يمكن تعطيلها.
📋 الجلسات، CSRF، المصادقة، تفضيلات اللغة
📊
ملفات التحليلات
تساعدنا في فهم كيفية استخدام الزوار للموقع وتحسين الأداء.
📋 إحصائيات الصفحات، مدة الجلسة، مصدر الزيارة
⚙️
ملفات وظيفية
تتيح ميزات محسنة مثل تخصيص المحتوى والتفضيلات.
📋 السمة المظلمة/الفاتحة، حجم الخط، لوحات التحكم المخصصة
📣
ملفات تسويقية
تُستخدم لتقديم محتوى وإعلانات ذات صلة باهتماماتك.
📋 تتبع الحملات، إعادة الاستهداف، تحليلات وسائل التواصل
سياسة الخصوصية →
مساعد CISO الذكي
اسألني أي شيء · وثائق · دعم
🔐

عرّفنا بنفسك

أدخل بياناتك للوصول إلى المساعد الكامل

معلوماتك آمنة ولن تُشارك
💬
المساعد السيبراني
متصل — يرد في ثوانٍ
5 / 5
🔐 تحقق من هويتك

أدخل بريدك الإلكتروني لإرسال رمز تحقق قبل إرسال طلب الدعم.

Enter للإرسال · / للأوامر 0 / 2000
CISO AI · مدعوم بالذكاء الاصطناعي
✦ استطلاع سريع ساعدنا في تحسين منصة سيزو للاستشارات ملاحظاتك تشكّل مستقبل منصتنا — لا تستغرق سوى دقيقتين.
⚠ يرجى الإجابة على هذا السؤال للمتابعة

كيف تقيّم تجربتك العامة مع منصتنا؟

قيّم من 1 (ضعيف) إلى 5 (ممتاز)

🎉
شكراً جزيلاً!
تم تسجيل إجابتك بنجاح.