📧 info@ciso.sa | 📱 +966550939344 | الرياض، المملكة العربية السعودية
عن المنصة الأسئلة الشائعة اتصل بنا شروط الخدمة سياسة الخصوصية 🌐 English
🔐

مرحباً — سجّل دخولك أو أنشئ حساباً للوصول الكامل.

🔑 دخول ✨ حساب جديد
🌐 EN تسجيل الدخول إنشاء حساب
🔧 صيانة مجدولة — السبت 2:00-4:00 صباحاً. قد تكون بعض الميزات غير متاحة مؤقتاً.    ●   
💎
خطة Pro بخصم 50% احصل على جميع ميزات AI والتقارير غير المحدودة والدعم ذي الأولوية. الترقية الآن
مركز البحث
ESC للإغلاق
تنقل فتح Ctrl+K بحث
CISO Consulting
Global insider التعليم HIGH 5h Global supply_chain تطوير البرمجيات والتكنولوجيا HIGH 10h Global apt الحكومة والبنية التحتية الحرجة CRITICAL 12h Global vulnerability برامج المؤسسات / تحليل البيانات CRITICAL 12h Global vulnerability الذكاء الاصطناعي والتكنولوجيا HIGH 16h Global general قطاع التكنولوجيا والذكاء الاصطناعي MEDIUM 19h Global general قطاع التكنولوجيا والذكاء الاصطناعي HIGH 20h Global vulnerability التعليم العالي CRITICAL 1d Global data_breach القطاع الحكومي HIGH 1d Global supply_chain تطوير البرمجيات والمجتمعات مفتوحة المصدر CRITICAL 1d Global insider التعليم HIGH 5h Global supply_chain تطوير البرمجيات والتكنولوجيا HIGH 10h Global apt الحكومة والبنية التحتية الحرجة CRITICAL 12h Global vulnerability برامج المؤسسات / تحليل البيانات CRITICAL 12h Global vulnerability الذكاء الاصطناعي والتكنولوجيا HIGH 16h Global general قطاع التكنولوجيا والذكاء الاصطناعي MEDIUM 19h Global general قطاع التكنولوجيا والذكاء الاصطناعي HIGH 20h Global vulnerability التعليم العالي CRITICAL 1d Global data_breach القطاع الحكومي HIGH 1d Global supply_chain تطوير البرمجيات والمجتمعات مفتوحة المصدر CRITICAL 1d Global insider التعليم HIGH 5h Global supply_chain تطوير البرمجيات والتكنولوجيا HIGH 10h Global apt الحكومة والبنية التحتية الحرجة CRITICAL 12h Global vulnerability برامج المؤسسات / تحليل البيانات CRITICAL 12h Global vulnerability الذكاء الاصطناعي والتكنولوجيا HIGH 16h Global general قطاع التكنولوجيا والذكاء الاصطناعي MEDIUM 19h Global general قطاع التكنولوجيا والذكاء الاصطناعي HIGH 20h Global vulnerability التعليم العالي CRITICAL 1d Global data_breach القطاع الحكومي HIGH 1d Global supply_chain تطوير البرمجيات والمجتمعات مفتوحة المصدر CRITICAL 1d
الثغرات

CVE-2026-28513

مرتفع ⚡ اختراق متاح
Pocket ID is an OIDC provider that allows users to authenticate with their passkeys to your services. Prior to 2.4.0, the OIDC token endpoint rejects an authorization code only when both the client ID
CWE-863 — نوع الضعف
نُشر: Mar 10, 2026  ·  آخر تحديث: Mar 17, 2026  ·  المصدر: NVD
CVSS v3
8.5
🔗 NVD الرسمي
📄 الوصف (الإنجليزية)

Pocket ID is an OIDC provider that allows users to authenticate with their passkeys to your services. Prior to 2.4.0, the OIDC token endpoint rejects an authorization code only when both the client ID is wrong and the code is expired. This allows cross-client code exchange and expired code reuse. This vulnerability is fixed in 2.4.0.

🤖 ملخص AI

Pocket ID OIDC provider versions prior to 2.4.0 contain an authorization code validation flaw (CWE-863) allowing attackers to exchange authorization codes across different clients or reuse expired codes. This critical authentication bypass affects any organization using Pocket ID for passkey-based authentication. The vulnerability has public exploits available and requires immediate patching to prevent unauthorized access to integrated services.

📄 الوصف (العربية)

🤖 التحليل الذكي آخر تحليل: Apr 24, 2026 02:51
🇸🇦 التأثير على المملكة العربية السعودية
Saudi organizations using Pocket ID for authentication—particularly in banking (SAMA-regulated institutions), government agencies (NCA oversight), healthcare providers, and telecommunications companies—face critical risk of unauthorized access. The vulnerability enables attackers to bypass passkey authentication and gain access to sensitive systems without valid credentials. Financial institutions and government portals are at highest risk due to the sensitivity of data accessed through these authentication systems.
🏢 القطاعات السعودية المتأثرة
Banking and Financial Services Government and Public Administration Healthcare and Medical Services Energy and Utilities Telecommunications E-commerce and Retail
⚖️ درجة المخاطر السعودية (AI)
8.8
/ 10.0
🔧 Remediation Steps (English)
1. IMMEDIATE: Identify all instances of Pocket ID in your environment and document version numbers

2. URGENT: Upgrade all Pocket ID deployments to version 2.4.0 or later immediately

3. INTERIM CONTROL: If immediate patching is not possible, implement strict token validation at the application layer—verify that authorization codes are single-use and validate client ID matches on every token exchange

4. DETECTION: Monitor authentication logs for:

   - Multiple token exchange attempts with same authorization code

   - Token exchanges from different client IDs using same code

   - Successful authentication with expired authorization codes

5. VALIDATION: After patching, conduct penetration testing to confirm authorization code reuse is blocked

6. AUDIT: Review authentication logs for the past 90 days to identify potential exploitation
🔧 خطوات المعالجة (العربية)
1. فوري: حدد جميع حالات Pocket ID في بيئتك وقم بتوثيق أرقام الإصدارات

2. عاجل: قم بترقية جميع نشرات Pocket ID إلى الإصدار 2.4.0 أو أحدث على الفور

3. تحكم مؤقت: إذا لم يكن التصحيح الفوري ممكنًا، قم بتنفيذ التحقق الصارم من الرموز على مستوى التطبيق—تحقق من أن رموز التفويض أحادية الاستخدام والتحقق من تطابق معرف العميل في كل تبديل رمز

4. الكشف: راقب سجلات المصادقة للبحث عن:

   - محاولات تبديل رموز متعددة برمز تفويض واحد

   - تبديلات الرموز من معرفات عملاء مختلفة باستخدام نفس الرمز

   - المصادقة الناجحة برموز التفويض المنتهية الصلاحية

5. التحقق: بعد التصحيح، أجرِ اختبار الاختراق للتأكد من حظر إعادة استخدام رمز التفويض

6. التدقيق: راجع سجلات المصادقة لآخر 90 يومًا لتحديد الاستغلال المحتمل
📋 خريطة الامتثال التنظيمي
🟢 NCA ECC 2024
ECC 2024 A.9.2.1 - User authentication and access control ECC 2024 A.9.4.3 - Password management systems ECC 2024 A.14.2.1 - Secure development policy
🔵 SAMA CSF
SAMA CSF ID.AM-2 - Software inventory and versioning SAMA CSF PR.AC-1 - Access control policy and procedures SAMA CSF DE.CM-1 - Detection and analysis of anomalies
🟡 ISO 27001:2022
ISO 27001:2022 A.5.15 - Access control ISO 27001:2022 A.8.2 - User registration and access rights management ISO 27001:2022 A.8.3 - User access provisioning
🟣 PCI DSS v4.0.1
PCI DSS 2.1 - Change default vendor-supplied passwords PCI DSS 6.2 - Security patches and updates PCI DSS 8.1 - Assign unique ID to each person with access
📦 المنتجات المتأثرة 1 منتج
pocket-id:pocket_id
📊 CVSS Score
8.5
/ 10.0 — مرتفع
📊 CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:L/A:N
Attack VectorN — None / Network
Attack ComplexityL — Low / Local
Privileges RequiredL — Low / Local
User InteractionN — None / Network
ScopeC — Changed
ConfidentialityH — High
IntegrityL — Low / Local
AvailabilityN — None / Network
📋 حقائق سريعة
الخطورة مرتفع
CVSS Score8.5
CWECWE-863
اختراق متاح ✓ نعم
تصحيح متاح ✓ نعم
تاريخ النشر 2026-03-10
المصدر nvd
المشاهدات 5
🇸🇦 درجة المخاطر السعودية
8.8
/ 10.0 — مخاطر السعودية
أولوية: CRITICAL
🏷️ الوسوم
exploit-available CWE-863
🏢 توجيهات البائع
🔗 https://github.com/pocket-id/pocket-id/security/advi... 🔗 https://github.com/pocket-id/pocket-id/security/advi...
⚡ إجراءات
🔗 NVD Official Page ⚡ Exploit-DB Search 🐙 GitHub PoC Search 🎯 MITRE ATT&CK 📊 CVE Details
مشاركة ثغرة
LinkedIn X / Twitter WhatsApp Telegram

💬 التعليقات

0
جارٍ التحميل
📣 وجدت هذا مفيداً؟
شاركه مع شبكة الأمن السيبراني الخاصة بك
in لينكدإن 𝕏 تويتر 💬 واتساب ✈ تليجرام
🍪 إعدادات الخصوصية
سيزو للاستشارات — متوافق مع نظام حماية البيانات الشخصية السعودي (PDPL)
نستخدم ملفات تعريف الارتباط والتقنيات المشابهة لتوفير أفضل تجربة على منصتنا. يمكنك اختيار الأنواع التي تقبلها.
🔒
ملفات ضرورية Always On
مطلوبة لعمل الموقع بشكل صحيح. لا يمكن تعطيلها.
📋 الجلسات، CSRF، المصادقة، تفضيلات اللغة
📊
ملفات التحليلات
تساعدنا في فهم كيفية استخدام الزوار للموقع وتحسين الأداء.
📋 إحصائيات الصفحات، مدة الجلسة، مصدر الزيارة
⚙️
ملفات وظيفية
تتيح ميزات محسنة مثل تخصيص المحتوى والتفضيلات.
📋 السمة المظلمة/الفاتحة، حجم الخط، لوحات التحكم المخصصة
📣
ملفات تسويقية
تُستخدم لتقديم محتوى وإعلانات ذات صلة باهتماماتك.
📋 تتبع الحملات، إعادة الاستهداف، تحليلات وسائل التواصل
سياسة الخصوصية →
مساعد CISO الذكي
اسألني أي شيء · وثائق · دعم
🔐

عرّفنا بنفسك

أدخل بياناتك للوصول إلى المساعد الكامل

معلوماتك آمنة ولن تُشارك
💬
المساعد السيبراني
متصل — يرد في ثوانٍ
5 / 5
🔐 تحقق من هويتك

أدخل بريدك الإلكتروني لإرسال رمز تحقق قبل إرسال طلب الدعم.

Enter للإرسال · / للأوامر 0 / 2000
CISO AI · مدعوم بالذكاء الاصطناعي
✦ استطلاع سريع ساعدنا في تحسين منصة سيزو للاستشارات ملاحظاتك تشكّل مستقبل منصتنا — لا تستغرق سوى دقيقتين.
⚠ يرجى الإجابة على هذا السؤال للمتابعة

كيف تقيّم تجربتك العامة مع منصتنا؟

قيّم من 1 (ضعيف) إلى 5 (ممتاز)

🎉
شكراً جزيلاً!
تم تسجيل إجابتك بنجاح.