📧 info@ciso.sa | 📱 +966550939344 | الرياض، المملكة العربية السعودية
عن المنصة الأسئلة الشائعة اتصل بنا شروط الخدمة سياسة الخصوصية 🌐 English
🔐

مرحباً — سجّل دخولك أو أنشئ حساباً للوصول الكامل.

🔑 دخول ✨ حساب جديد
🌐 EN تسجيل الدخول إنشاء حساب
🔧 صيانة مجدولة — السبت 2:00-4:00 صباحاً. قد تكون بعض الميزات غير متاحة مؤقتاً.    ●   
💎
خطة Pro بخصم 50% احصل على جميع ميزات AI والتقارير غير المحدودة والدعم ذي الأولوية. الترقية الآن
مركز البحث
ESC للإغلاق
تنقل فتح Ctrl+K بحث
CISO Consulting
Global phishing عبر القطاعات HIGH 19m Global data_breach الطاقة CRITICAL 1h Global phishing الحكومة/متعدد القطاعات HIGH 1h Global apt التعليم CRITICAL 4h Global vulnerability برامج المؤسسات / أنظمة تخطيط موارد المؤسسات CRITICAL 4h Global vulnerability البنية التحتية لتكنولوجيا المعلومات CRITICAL 5h Global vulnerability قطاع التكنولوجيا وتطوير البرمجيات HIGH 6h Global vulnerability قطاع تكنولوجيا المعلومات والحكومة CRITICAL 6h Global ransomware قطاعات متعددة / المؤسسات CRITICAL 7h Global general التكنولوجيا والقطاع القانوني MEDIUM 8h Global phishing عبر القطاعات HIGH 19m Global data_breach الطاقة CRITICAL 1h Global phishing الحكومة/متعدد القطاعات HIGH 1h Global apt التعليم CRITICAL 4h Global vulnerability برامج المؤسسات / أنظمة تخطيط موارد المؤسسات CRITICAL 4h Global vulnerability البنية التحتية لتكنولوجيا المعلومات CRITICAL 5h Global vulnerability قطاع التكنولوجيا وتطوير البرمجيات HIGH 6h Global vulnerability قطاع تكنولوجيا المعلومات والحكومة CRITICAL 6h Global ransomware قطاعات متعددة / المؤسسات CRITICAL 7h Global general التكنولوجيا والقطاع القانوني MEDIUM 8h Global phishing عبر القطاعات HIGH 19m Global data_breach الطاقة CRITICAL 1h Global phishing الحكومة/متعدد القطاعات HIGH 1h Global apt التعليم CRITICAL 4h Global vulnerability برامج المؤسسات / أنظمة تخطيط موارد المؤسسات CRITICAL 4h Global vulnerability البنية التحتية لتكنولوجيا المعلومات CRITICAL 5h Global vulnerability قطاع التكنولوجيا وتطوير البرمجيات HIGH 6h Global vulnerability قطاع تكنولوجيا المعلومات والحكومة CRITICAL 6h Global ransomware قطاعات متعددة / المؤسسات CRITICAL 7h Global general التكنولوجيا والقطاع القانوني MEDIUM 8h
الثغرات

CVE-2026-34653

مرتفع
CWE-22 — نوع الضعف
نُشر: May 12, 2026  ·  آخر تحديث: May 19, 2026  ·  المصدر: NVD
CVSS v3
8.7
🔗 NVD الرسمي
📄 الوصف (الإنجليزية)

Adobe Commerce versions 2.4.9-beta1, 2.4.8-p4, 2.4.7-p9, 2.4.6-p14, 2.4.5-p16, 2.4.4-p17 and earlier are affected by an Improper Limitation of a Pathname to a Restricted Directory ('Path Traversal') vulnerability that could result in arbitrary file system read and write. An authenticated attacker with administrative privileges could exploit this vulnerability to read or write files outside the restricted directory. Exploitation of this issue does not require user interaction. Scope is changed.

🤖 ملخص AI

Adobe Commerce versions up to 2.4.9-beta1 contain a critical path traversal vulnerability (CVE-2026-34653) allowing authenticated administrators to read and write arbitrary files on the server. With a CVSS score of 8.7, this vulnerability poses significant risk to e-commerce operations in Saudi Arabia, particularly for organizations running vulnerable versions. No patch is currently available, requiring immediate compensating controls and version assessment.

📄 الوصف (العربية)

🤖 التحليل الذكي آخر تحليل: May 19, 2026 21:41
🇸🇦 التأثير على المملكة العربية السعودية
Saudi e-commerce platforms, financial institutions using Adobe Commerce for payment processing, and government procurement portals are at highest risk. Banking sector (SAMA-regulated entities), retail and e-commerce companies, and healthcare providers offering online services face potential data breaches, system compromise, and regulatory violations. Attackers with admin access could exfiltrate customer payment data, modify transaction records, or deploy malware. Organizations in the Kingdom relying on Adobe Commerce for critical business operations face operational disruption and compliance violations under SAMA CSF and NCA ECC 2024 requirements.
🏢 القطاعات السعودية المتأثرة
Banking and Financial Services E-commerce and Retail Government and Public Sector Healthcare Telecommunications Energy and Utilities Hospitality and Tourism
⚖️ درجة المخاطر السعودية (AI)
8.2
/ 10.0
🔧 Remediation Steps (English)
IMMEDIATE ACTIONS:

1. Inventory all Adobe Commerce installations and identify versions 2.4.9-beta1, 2.4.8-p4, 2.4.7-p9, 2.4.6-p14, 2.4.5-p16, 2.4.4-p17 and earlier

2. Restrict administrative access to Commerce instances to only essential personnel with MFA enforcement

3. Implement file system access controls and disable unnecessary file write permissions for web server processes

4. Monitor admin account activity logs for suspicious file operations



COMPENSATING CONTROLS (until patch available):

5. Deploy Web Application Firewall (WAF) rules to detect and block path traversal attempts (../, ..\, encoded variants)

6. Implement strict input validation on all admin-accessible file operations

7. Use SELinux or AppArmor to restrict file system access to designated directories only

8. Disable file upload/download functionality if not critical to operations

9. Implement file integrity monitoring (FIM) on critical system files



DETECTION RULES:

10. Monitor for HTTP requests containing path traversal patterns in admin endpoints

11. Alert on file system write operations outside /var/www/html/pub and /var/www/html/var directories

12. Track admin user sessions accessing file system functions

13. Log all file read/write operations by web server process



PATCHING STRATEGY:

14. Subscribe to Adobe security advisories for patch availability

15. Plan upgrade to patched version immediately upon release

16. Test patches in non-production environment before deployment
🔧 خطوات المعالجة (العربية)
الإجراءات الفورية:

1. قم بحصر جميع تثبيتات Adobe Commerce وتحديد الإصدارات 2.4.9-beta1 و 2.4.8-p4 و 2.4.7-p9 و 2.4.6-p14 و 2.4.5-p16 و 2.4.4-p17 والإصدارات الأقدم

2. قيد الوصول الإداري إلى مثيلات Commerce للموظفين الأساسيين فقط مع فرض المصادقة متعددة العوامل

3. تطبيق ضوابط الوصول إلى نظام الملفات وتعطيل أذونات الكتابة غير الضرورية لعمليات خادم الويب

4. مراقبة سجلات نشاط حساب المسؤول للعمليات المريبة



الضوابط البديلة (حتى توفر التصحيح):

5. نشر قواعد جدار حماية تطبيقات الويب (WAF) للكشف عن محاولات اجتياز المسارات وحجبها

6. تطبيق التحقق الصارم من المدخلات على جميع عمليات الملفات التي يمكن الوصول إليها من قبل المسؤول

7. استخدام SELinux أو AppArmor لتقييد الوصول إلى نظام الملفات للمجلدات المعينة فقط

8. تعطيل وظائف تحميل/تنزيل الملفات إذا لم تكن حرجة للعمليات

9. تطبيق مراقبة سلامة الملفات (FIM) على ملفات النظام الحرجة



قواعد الكشف:

10. مراقبة طلبات HTTP التي تحتوي على أنماط اجتياز المسارات في نقاط نهاية المسؤول

11. تنبيه عمليات كتابة نظام الملفات خارج مجلدات /var/www/html/pub و /var/www/html/var

12. تتبع جلسات المستخدم الإداري التي تصل إلى وظائف نظام الملفات

13. تسجيل جميع عمليات قراءة/كتابة الملفات بواسطة عملية خادم الويب



استراتيجية التصحيح:

14. الاشتراك في تنبيهات أمان Adobe لتوفر التصحيح

15. التخطيط للترقية إلى الإصدار المصحح فوراً عند توفره

16. اختبار التصحيحات في بيئة غير الإنتاج قبل النشر
📋 خريطة الامتثال التنظيمي
🟢 NCA ECC 2024
A.5.1.1 - Information Security Policies and Procedures A.6.1.1 - Access Control Policy A.6.2.1 - User Registration and De-registration A.8.1.1 - Asset Management Policy A.12.2.1 - Restrictions on Software Installation A.12.4.1 - Event Logging A.12.4.3 - Administrator and Operator Logs A.13.1.1 - Information Security Incident Procedures
🔵 SAMA CSF
Governance - Policy and Risk Management Governance - Compliance and Audit Protection - Access Control and Authentication Protection - Data Protection and Privacy Detection - Security Monitoring and Logging Response - Incident Management
🟡 ISO 27001:2022
5.3 - Segregation of duties 6.2 - Information security roles and responsibilities 8.1 - Operational planning and control 8.2 - Supply chain relationships 8.3 - Information and communication 8.4 - Systems and communications 8.5 - Cryptography 8.6 - Physical and environmental security 8.7 - Operations security 8.32 - Change management 8.33 - Test information and communication facilities 8.34 - Protection of information systems during audit testing
🟣 PCI DSS v4.0.1
Requirement 1 - Install and maintain a firewall configuration Requirement 2 - Do not use vendor-supplied defaults Requirement 6 - Develop and maintain secure systems and applications Requirement 7 - Restrict access to data by business need-to-know Requirement 8 - Identify and authenticate access to system components Requirement 10 - Track and monitor all access to network resources
📊 CVSS Score
8.7
/ 10.0 — مرتفع
📊 CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:C/C:H/I:H/A:N
Attack VectorN — None / Network
Attack ComplexityL — Low / Local
Privileges RequiredH — High
User InteractionN — None / Network
ScopeC — Changed
ConfidentialityH — High
IntegrityH — High
AvailabilityN — None / Network
📋 حقائق سريعة
الخطورة مرتفع
CVSS Score8.7
CWECWE-22
EPSS0.04%
اختراق متاح لا
تصحيح متاح ✗ لا
تاريخ النشر 2026-05-12
المصدر nvd
المشاهدات 1
🇸🇦 درجة المخاطر السعودية
8.2
/ 10.0 — مخاطر السعودية
أولوية: CRITICAL
🏷️ الوسوم
CWE-22
⚡ إجراءات
🔗 NVD Official Page ⚡ Exploit-DB Search 🐙 GitHub PoC Search 🎯 MITRE ATT&CK 📊 CVE Details
مشاركة ثغرة
LinkedIn X / Twitter WhatsApp Telegram
📣 وجدت هذا مفيداً؟
شاركه مع شبكة الأمن السيبراني الخاصة بك
in لينكدإن 𝕏 تويتر 💬 واتساب ✈ تليجرام
🍪 إعدادات الخصوصية
سيزو للاستشارات — متوافق مع نظام حماية البيانات الشخصية السعودي (PDPL)
نستخدم ملفات تعريف الارتباط والتقنيات المشابهة لتوفير أفضل تجربة على منصتنا. يمكنك اختيار الأنواع التي تقبلها.
🔒
ملفات ضرورية Always On
مطلوبة لعمل الموقع بشكل صحيح. لا يمكن تعطيلها.
📋 الجلسات، CSRF، المصادقة، تفضيلات اللغة
📊
ملفات التحليلات
تساعدنا في فهم كيفية استخدام الزوار للموقع وتحسين الأداء.
📋 إحصائيات الصفحات، مدة الجلسة، مصدر الزيارة
⚙️
ملفات وظيفية
تتيح ميزات محسنة مثل تخصيص المحتوى والتفضيلات.
📋 السمة المظلمة/الفاتحة، حجم الخط، لوحات التحكم المخصصة
📣
ملفات تسويقية
تُستخدم لتقديم محتوى وإعلانات ذات صلة باهتماماتك.
📋 تتبع الحملات، إعادة الاستهداف، تحليلات وسائل التواصل
سياسة الخصوصية →
مساعد CISO الذكي
اسألني أي شيء · وثائق · دعم
🔐

عرّفنا بنفسك

أدخل بياناتك للوصول إلى المساعد الكامل

معلوماتك آمنة ولن تُشارك
💬
المساعد السيبراني
متصل — يرد في ثوانٍ
5 / 5
🔐 تحقق من هويتك

أدخل بريدك الإلكتروني لإرسال رمز تحقق قبل إرسال طلب الدعم.

Enter للإرسال · / للأوامر 0 / 2000
CISO AI · مدعوم بالذكاء الاصطناعي
✦ استطلاع سريع ساعدنا في تحسين منصة سيزو للاستشارات ملاحظاتك تشكّل مستقبل منصتنا — لا تستغرق سوى دقيقتين.
⚠ يرجى الإجابة على هذا السؤال للمتابعة

كيف تقيّم تجربتك العامة مع منصتنا؟

قيّم من 1 (ضعيف) إلى 5 (ممتاز)

🎉
شكراً جزيلاً!
تم تسجيل إجابتك بنجاح.