📧 info@ciso.sa | 📱 +966550939344 | الرياض، المملكة العربية السعودية
عن المنصة الأسئلة الشائعة اتصل بنا شروط الخدمة سياسة الخصوصية 🌐 English
🔐

مرحباً — سجّل دخولك أو أنشئ حساباً للوصول الكامل.

🔑 دخول ✨ حساب جديد
🌐 EN تسجيل الدخول إنشاء حساب
🔧 صيانة مجدولة — السبت 2:00-4:00 صباحاً. قد تكون بعض الميزات غير متاحة مؤقتاً.    ●   
💎
خطة Pro بخصم 50% احصل على جميع ميزات AI والتقارير غير المحدودة والدعم ذي الأولوية. الترقية الآن
مركز البحث
ESC للإغلاق
تنقل فتح Ctrl+K بحث
CISO Consulting
Global general قطاع التكنولوجيا والذكاء الاصطناعي MEDIUM 3h Global general قطاع التكنولوجيا والذكاء الاصطناعي HIGH 4h Global vulnerability التعليم العالي CRITICAL 13h Global data_breach القطاع الحكومي HIGH 14h Global supply_chain تطوير البرمجيات والمجتمعات مفتوحة المصدر CRITICAL 14h Global malware تطوير البرمجيات CRITICAL 14h Global phishing قطاعات متعددة HIGH 15h Global vulnerability تطبيقات الويب CRITICAL 15h Global apt البنية التحتية الحرجة CRITICAL 15h Global ransomware قطاعات متعددة CRITICAL 16h Global general قطاع التكنولوجيا والذكاء الاصطناعي MEDIUM 3h Global general قطاع التكنولوجيا والذكاء الاصطناعي HIGH 4h Global vulnerability التعليم العالي CRITICAL 13h Global data_breach القطاع الحكومي HIGH 14h Global supply_chain تطوير البرمجيات والمجتمعات مفتوحة المصدر CRITICAL 14h Global malware تطوير البرمجيات CRITICAL 14h Global phishing قطاعات متعددة HIGH 15h Global vulnerability تطبيقات الويب CRITICAL 15h Global apt البنية التحتية الحرجة CRITICAL 15h Global ransomware قطاعات متعددة CRITICAL 16h Global general قطاع التكنولوجيا والذكاء الاصطناعي MEDIUM 3h Global general قطاع التكنولوجيا والذكاء الاصطناعي HIGH 4h Global vulnerability التعليم العالي CRITICAL 13h Global data_breach القطاع الحكومي HIGH 14h Global supply_chain تطوير البرمجيات والمجتمعات مفتوحة المصدر CRITICAL 14h Global malware تطوير البرمجيات CRITICAL 14h Global phishing قطاعات متعددة HIGH 15h Global vulnerability تطبيقات الويب CRITICAL 15h Global apt البنية التحتية الحرجة CRITICAL 15h Global ransomware قطاعات متعددة CRITICAL 16h
الثغرات

CVE-2026-34310

مرتفع
نُشر: Apr 21, 2026  ·  آخر تحديث: Apr 22, 2026  ·  المصدر: NVD
CVSS v3
7.5
🔗 NVD الرسمي
📄 الوصف (الإنجليزية)

Vulnerability in the Oracle Financial Services Analytical Applications Infrastructure product of Oracle Financial Services Applications (component: Platform). Supported versions that are affected are 8.0.7.9, 8.0.8.7 and 8.1.2.5. Easily exploitable vulnerability allows unauthenticated attacker with network access via HTTP to compromise Oracle Financial Services Analytical Applications Infrastructure. Successful attacks of this vulnerability can result in unauthorized access to critical data or complete access to all Oracle Financial Services Analytical Applications Infrastructure accessible data. CVSS 3.1 Base Score 7.5 (Confidentiality impacts). CVSS Vector: (CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N).

🤖 ملخص AI

A critical unauthenticated remote vulnerability in Oracle Financial Services Analytical Applications Infrastructure (versions 8.0.7.9, 8.0.8.7, 8.1.2.5) allows attackers to gain unauthorized access to sensitive financial data via HTTP without authentication. The vulnerability has a CVSS score of 7.5 with high confidentiality impact. No patch is currently available, making immediate compensating controls essential for Saudi financial institutions.

📄 الوصف (العربية)

🤖 التحليل الذكي آخر تحليل: May 3, 2026 04:16
🇸🇦 التأثير على المملكة العربية السعودية
This vulnerability poses severe risk to Saudi banking sector (SAMA-regulated institutions), particularly those using Oracle Financial Services for analytical and reporting functions. High-risk sectors include: (1) Commercial banks and Islamic banks relying on Oracle FSAA for financial analysis and regulatory reporting; (2) Capital Market Authority (CMA) regulated entities using the platform for market analysis; (3) Insurance companies using FSAA for actuarial and financial analytics; (4) Government financial entities and Ministry of Finance systems; (5) Telecom operators (STC, Mobily) with financial analytics components. Unauthorized access could expose customer financial data, transaction records, regulatory filings, and strategic financial information.
🏢 القطاعات السعودية المتأثرة
Banking and Financial Services Islamic Banking Capital Markets Insurance Government and Public Sector Telecommunications Energy and Utilities
⚖️ درجة المخاطر السعودية (AI)
8.2
/ 10.0
🔧 Remediation Steps (English)
IMMEDIATE ACTIONS:

1. Identify all systems running Oracle Financial Services Analytical Applications Infrastructure versions 8.0.7.9, 8.0.8.7, or 8.1.2.5

2. Implement network segmentation: restrict HTTP/HTTPS access to FSAA infrastructure to authorized networks only using WAF/firewall rules

3. Deploy Web Application Firewall (WAF) rules to block unauthenticated access attempts to FSAA endpoints

4. Enable comprehensive logging and monitoring of all HTTP requests to FSAA components

5. Implement IP whitelisting for FSAA access, restricting to known administrative and application networks



DETECTION RULES:

- Monitor for HTTP requests to FSAA endpoints without valid authentication tokens

- Alert on unusual data access patterns or bulk data retrieval attempts

- Track failed authentication attempts followed by successful data access

- Monitor for requests to sensitive FSAA API endpoints from external networks



COMPENSATING CONTROLS:

- Implement reverse proxy with mandatory authentication layer in front of FSAA

- Deploy network intrusion detection system (IDS) signatures for FSAA exploitation attempts

- Enforce VPN requirement for all FSAA access

- Implement database activity monitoring (DAM) on backend databases accessed by FSAA

- Enable audit logging at database and application levels



PATCHING GUIDANCE:

- Contact Oracle Support immediately for patch availability timeline

- Prepare upgrade path to patched versions when available

- Test patches in non-production environment before deployment

- Plan maintenance window for production patching with minimal business impact
🔧 خطوات المعالجة (العربية)
الإجراءات الفورية:

1. تحديد جميع الأنظمة التي تعمل بإصدارات Oracle Financial Services Analytical Applications Infrastructure 8.0.7.9 و 8.0.8.7 و 8.1.2.5

2. تطبيق تقسيم الشبكة: تقييد وصول HTTP/HTTPS إلى بنية FSAA للشبكات المصرح لها فقط باستخدام قواعد جدار الحماية

3. نشر قواعد جدار تطبيقات الويب (WAF) لحجب محاولات الوصول غير المصرح بها إلى نقاط نهاية FSAA

4. تفعيل السجلات الشاملة ومراقبة جميع طلبات HTTP إلى مكونات FSAA

5. تطبيق قائمة بيضاء للعناوين IP لوصول FSAA، مع تقييد الوصول للشبكات الإدارية والتطبيقية المعروفة



قواعد الكشف:

- مراقبة طلبات HTTP إلى نقاط نهاية FSAA بدون رموز مصادقة صحيحة

- تنبيهات على أنماط الوصول غير العادية أو محاولات استرجاع البيانات بكميات كبيرة

- تتبع محاولات المصادقة الفاشلة متبوعة بوصول ناجح للبيانات

- مراقبة الطلبات إلى نقاط نهاية API حساسة في FSAA من شبكات خارجية



الضوابط التعويضية:

- تطبيق خادم وكيل عكسي مع طبقة مصادقة إلزامية أمام FSAA

- نشر توقيعات نظام كشف الاختراق (IDS) لمحاولات استغلال FSAA

- فرض متطلبات VPN لجميع وصول FSAA

- تطبيق مراقبة نشاط قاعدة البيانات (DAM) على قواعد البيانات الخلفية التي يصل إليها FSAA

- تفعيل تسجيل التدقيق على مستويات قاعدة البيانات والتطبيق



إرشادات التصحيح:

- التواصل مع دعم Oracle فوراً للاستفسار عن توفر التصحيحات

- تحضير مسار الترقية إلى الإصدارات المصححة عند توفرها

- اختبار التصحيحات في بيئة غير الإنتاج قبل النشر

- تخطيط نافذة صيانة للإنتاج مع تقليل التأثير على العمليات
📋 خريطة الامتثال التنظيمي
🟢 NCA ECC 2024
ECC 2024 - 5.1.1: Access Control and Authentication ECC 2024 - 5.2.1: Data Protection and Confidentiality ECC 2024 - 5.3.1: Monitoring and Logging ECC 2024 - 6.1.1: Vulnerability Management ECC 2024 - 6.2.1: Patch Management
🔵 SAMA CSF
SAMA CSF - Governance: Risk Management Framework SAMA CSF - Protect: Access Control SAMA CSF - Protect: Data Protection SAMA CSF - Detect: Monitoring and Alerting SAMA CSF - Respond: Incident Response
🟡 ISO 27001:2022
ISO 27001:2022 - A.5.2: User Access Management ISO 27001:2022 - A.5.3: Access Rights ISO 27001:2022 - A.8.1: User Endpoint Devices ISO 27001:2022 - A.8.2: Privileged Access Rights ISO 27001:2022 - A.12.6: Change Management ISO 27001:2022 - A.14.2: Software Development
🟣 PCI DSS v4.0.1
PCI DSS 4.0 - Requirement 1: Firewall Configuration PCI DSS 4.0 - Requirement 2: Default Security Parameters PCI DSS 4.0 - Requirement 6: Secure Development and Vulnerability Management PCI DSS 4.0 - Requirement 7: Restrict Access to Data PCI DSS 4.0 - Requirement 10: Logging and Monitoring
📊 CVSS Score
7.5
/ 10.0 — مرتفع
📊 CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N
Attack VectorN — None / Network
Attack ComplexityL — Low / Local
Privileges RequiredN — None / Network
User InteractionN — None / Network
ScopeU — Unchanged
ConfidentialityH — High
IntegrityN — None / Network
AvailabilityN — None / Network
📋 حقائق سريعة
الخطورة مرتفع
CVSS Score7.5
EPSS0.03%
اختراق متاح لا
تصحيح متاح ✗ لا
تاريخ النشر 2026-04-21
المصدر nvd
المشاهدات 1
🇸🇦 درجة المخاطر السعودية
8.2
/ 10.0 — مخاطر السعودية
أولوية: CRITICAL
⚡ إجراءات
🔗 NVD Official Page ⚡ Exploit-DB Search 🐙 GitHub PoC Search 🎯 MITRE ATT&CK 📊 CVE Details
مشاركة ثغرة
LinkedIn X / Twitter WhatsApp Telegram

💬 التعليقات

0
جارٍ التحميل
📣 وجدت هذا مفيداً؟
شاركه مع شبكة الأمن السيبراني الخاصة بك
in لينكدإن 𝕏 تويتر 💬 واتساب ✈ تليجرام
🍪 إعدادات الخصوصية
سيزو للاستشارات — متوافق مع نظام حماية البيانات الشخصية السعودي (PDPL)
نستخدم ملفات تعريف الارتباط والتقنيات المشابهة لتوفير أفضل تجربة على منصتنا. يمكنك اختيار الأنواع التي تقبلها.
🔒
ملفات ضرورية Always On
مطلوبة لعمل الموقع بشكل صحيح. لا يمكن تعطيلها.
📋 الجلسات، CSRF، المصادقة، تفضيلات اللغة
📊
ملفات التحليلات
تساعدنا في فهم كيفية استخدام الزوار للموقع وتحسين الأداء.
📋 إحصائيات الصفحات، مدة الجلسة، مصدر الزيارة
⚙️
ملفات وظيفية
تتيح ميزات محسنة مثل تخصيص المحتوى والتفضيلات.
📋 السمة المظلمة/الفاتحة، حجم الخط، لوحات التحكم المخصصة
📣
ملفات تسويقية
تُستخدم لتقديم محتوى وإعلانات ذات صلة باهتماماتك.
📋 تتبع الحملات، إعادة الاستهداف، تحليلات وسائل التواصل
سياسة الخصوصية →
مساعد CISO الذكي
اسألني أي شيء · وثائق · دعم
🔐

عرّفنا بنفسك

أدخل بياناتك للوصول إلى المساعد الكامل

معلوماتك آمنة ولن تُشارك
💬
المساعد السيبراني
متصل — يرد في ثوانٍ
5 / 5
🔐 تحقق من هويتك

أدخل بريدك الإلكتروني لإرسال رمز تحقق قبل إرسال طلب الدعم.

Enter للإرسال · / للأوامر 0 / 2000
CISO AI · مدعوم بالذكاء الاصطناعي
✦ استطلاع سريع ساعدنا في تحسين منصة سيزو للاستشارات ملاحظاتك تشكّل مستقبل منصتنا — لا تستغرق سوى دقيقتين.
⚠ يرجى الإجابة على هذا السؤال للمتابعة

كيف تقيّم تجربتك العامة مع منصتنا؟

قيّم من 1 (ضعيف) إلى 5 (ممتاز)

🎉
شكراً جزيلاً!
تم تسجيل إجابتك بنجاح.