📧 info@ciso.sa | 📱 +966550939344 | الرياض، المملكة العربية السعودية
عن المنصة الأسئلة الشائعة اتصل بنا شروط الخدمة سياسة الخصوصية 🌐 English
🔐

مرحباً — سجّل دخولك أو أنشئ حساباً للوصول الكامل.

🔑 دخول ✨ حساب جديد
🌐 EN تسجيل الدخول إنشاء حساب
🔧 صيانة مجدولة — السبت 2:00-4:00 صباحاً. قد تكون بعض الميزات غير متاحة مؤقتاً.    ●   
💎
خطة Pro بخصم 50% احصل على جميع ميزات AI والتقارير غير المحدودة والدعم ذي الأولوية. الترقية الآن
مركز البحث
ESC للإغلاق
تنقل فتح Ctrl+K بحث
CISO Consulting
Global phishing عبر القطاعات HIGH 18m Global data_breach الطاقة CRITICAL 1h Global phishing الحكومة/متعدد القطاعات HIGH 1h Global apt التعليم CRITICAL 4h Global vulnerability برامج المؤسسات / أنظمة تخطيط موارد المؤسسات CRITICAL 5h Global vulnerability البنية التحتية لتكنولوجيا المعلومات CRITICAL 5h Global vulnerability قطاع التكنولوجيا وتطوير البرمجيات HIGH 6h Global vulnerability قطاع تكنولوجيا المعلومات والحكومة CRITICAL 6h Global ransomware قطاعات متعددة / المؤسسات CRITICAL 7h Global general التكنولوجيا والقطاع القانوني MEDIUM 8h Global phishing عبر القطاعات HIGH 18m Global data_breach الطاقة CRITICAL 1h Global phishing الحكومة/متعدد القطاعات HIGH 1h Global apt التعليم CRITICAL 4h Global vulnerability برامج المؤسسات / أنظمة تخطيط موارد المؤسسات CRITICAL 5h Global vulnerability البنية التحتية لتكنولوجيا المعلومات CRITICAL 5h Global vulnerability قطاع التكنولوجيا وتطوير البرمجيات HIGH 6h Global vulnerability قطاع تكنولوجيا المعلومات والحكومة CRITICAL 6h Global ransomware قطاعات متعددة / المؤسسات CRITICAL 7h Global general التكنولوجيا والقطاع القانوني MEDIUM 8h Global phishing عبر القطاعات HIGH 18m Global data_breach الطاقة CRITICAL 1h Global phishing الحكومة/متعدد القطاعات HIGH 1h Global apt التعليم CRITICAL 4h Global vulnerability برامج المؤسسات / أنظمة تخطيط موارد المؤسسات CRITICAL 5h Global vulnerability البنية التحتية لتكنولوجيا المعلومات CRITICAL 5h Global vulnerability قطاع التكنولوجيا وتطوير البرمجيات HIGH 6h Global vulnerability قطاع تكنولوجيا المعلومات والحكومة CRITICAL 6h Global ransomware قطاعات متعددة / المؤسسات CRITICAL 7h Global general التكنولوجيا والقطاع القانوني MEDIUM 8h
الثغرات

CVE-2026-34686

مرتفع
CWE-79 — نوع الضعف
نُشر: May 12, 2026  ·  آخر تحديث: May 19, 2026  ·  المصدر: NVD
CVSS v3
8.7
🔗 NVD الرسمي
📄 الوصف (الإنجليزية)

Adobe Commerce versions 2.4.9-beta1, 2.4.8-p4, 2.4.7-p9, 2.4.6-p14, 2.4.5-p16, 2.4.4-p17 and earlier are affected by a stored Cross-Site Scripting (XSS) vulnerability that could be abused by a low-privileged attacker to inject malicious scripts into vulnerable form fields. Malicious JavaScript may be executed in a victim's browser when they browse to the page containing the vulnerable field, potentially gaining elevated access or control over the victim's account or session. Scope is changed.

🤖 ملخص AI

Adobe Commerce versions 2.4.4-p17 and earlier contain a stored Cross-Site Scripting (XSS) vulnerability (CVSS 8.7) allowing low-privileged attackers to inject malicious scripts into form fields. When victims access pages with injected content, malicious JavaScript executes in their browsers, potentially compromising account access and session control. This vulnerability poses significant risk to Saudi e-commerce platforms and retail organizations relying on Adobe Commerce infrastructure.

📄 الوصف (العربية)

🤖 التحليل الذكي آخر تحليل: May 19, 2026 21:42
🇸🇦 التأثير على المملكة العربية السعودية
High impact on Saudi retail and e-commerce sector, particularly affecting organizations using Adobe Commerce for online storefronts (major retailers, SME e-commerce platforms). Banking sector at secondary risk if Commerce instances handle payment processing or customer financial data. Government procurement portals using Commerce for B2B transactions vulnerable to account takeover. Telecom sector (STC, Mobily) e-commerce platforms at risk. Healthcare organizations with online pharmacy or medical supply Commerce stores exposed to patient data compromise. Energy sector (ARAMCO subsidiary e-commerce) potentially affected.
🏢 القطاعات السعودية المتأثرة
Retail and E-commerce Banking and Financial Services Government and Public Sector Telecommunications Healthcare Energy and Utilities
⚖️ درجة المخاطر السعودية (AI)
8.2
/ 10.0
🔧 Remediation Steps (English)
IMMEDIATE ACTIONS:

1. Inventory all Adobe Commerce deployments across organization and identify versions 2.4.4-p17 and earlier

2. Restrict form field access to authenticated users only; disable public form submissions where possible

3. Implement Web Application Firewall (WAF) rules to detect and block XSS payloads in form submissions

4. Enable Content Security Policy (CSP) headers to prevent inline script execution



PATCHING GUIDANCE:

1. Monitor Adobe Security Bulletin for patch release (currently no patch available)

2. Subscribe to Adobe Commerce security notifications for emergency updates

3. Prepare patch deployment procedures and test in staging environment immediately upon release

4. Prioritize patching for customer-facing Commerce instances handling sensitive data



COMPENSATING CONTROLS (until patch available):

1. Implement input validation and sanitization on all form fields using OWASP ESAPI or similar libraries

2. Apply output encoding to all user-supplied data displayed on pages

3. Deploy ModSecurity or similar WAF with XSS detection rules

4. Implement HTTPOnly and Secure flags on session cookies

5. Enable X-XSS-Protection and X-Content-Type-Options headers



DETECTION RULES:

1. Monitor form submission logs for script tags, event handlers (onclick, onerror), and JavaScript protocol handlers

2. Alert on form field values containing: <script>, javascript:, onerror=, onload=, onclick=

3. Monitor for unusual DOM modifications in browser console logs

4. Track session hijacking indicators: multiple simultaneous sessions from different IPs for same user

5. Log all administrative account access and privilege escalations
🔧 خطوات المعالجة (العربية)
الإجراءات الفورية:

1. قم بحصر جميع نشرات Adobe Commerce عبر المنظمة وحدد الإصدارات 2.4.4-p17 والإصدارات الأقدم

2. قيّد الوصول إلى حقول النموذج للمستخدمين المصرح لهم فقط؛ عطّل إرسالات النماذج العامة حيث أمكن

3. طبّق قواعد جدار حماية تطبيقات الويب (WAF) للكشف عن حمولات XSS وحجبها في إرسالات النماذج

4. فعّل رؤوس سياسة أمان المحتوى (CSP) لمنع تنفيذ البرامج النصية المضمنة



إرشادات التصحيح:

1. راقب نشرة أمان Adobe للحصول على إصدار التصحيح (لا يوجد تصحيح متاح حالياً)

2. اشترك في إشعارات أمان Adobe Commerce للتحديثات الطارئة

3. جهّز إجراءات نشر التصحيح واختبرها في بيئة التطوير فوراً عند الإصدار

4. أولوية التصحيح لنشرات Commerce الموجهة للعملاء التي تتعامل مع بيانات حساسة



الضوابط البديلة (حتى توفر التصحيح):

1. طبّق التحقق من صحة الإدخال والتطهير على جميع حقول النموذج باستخدام OWASP ESAPI أو مكتبات مماثلة

2. طبّق ترميز الإخراج على جميع البيانات المزودة من قبل المستخدم المعروضة على الصفحات

3. نشّر ModSecurity أو WAF مماثل مع قواعد الكشف عن XSS

4. طبّق أعلام HTTPOnly و Secure على ملفات تعريف الارتباط للجلسة

5. فعّل رؤوس X-XSS-Protection و X-Content-Type-Options



قواعد الكشف:

1. راقب سجلات إرسال النموذج للبحث عن علامات البرامج النصية ومعالجات الأحداث والمعالجات

2. تنبيه على قيم حقول النموذج التي تحتوي على: <script>، javascript:، onerror=، onload=، onclick=

3. راقب تعديلات DOM غير العادية في سجلات وحدة تحكم المتصفح

4. تتبع مؤشرات اختطاف الجلسة: جلسات متعددة متزامنة من عناوين IP مختلفة لنفس المستخدم

5. سجّل جميع عمليات الوصول إلى حساب المسؤول وتصعيد الامتيازات
📋 خريطة الامتثال التنظيمي
🟢 NCA ECC 2024
ECC 2024 A.14.2.1 - Secure development policy and procedures ECC 2024 A.14.2.5 - Secure development environment ECC 2024 A.14.3.1 - Testing of security functionality ECC 2024 A.13.1.3 - Segregation of networks ECC 2024 A.13.2.1 - Management of removable media
🔵 SAMA CSF
SAMA CSF 2.1 - Governance and Risk Management SAMA CSF 3.2 - Access Control and Authentication SAMA CSF 3.3 - Data Protection and Privacy SAMA CSF 4.1 - Incident Detection and Response SAMA CSF 5.1 - Secure Software Development
🟡 ISO 27001:2022
ISO 27001:2022 A.5.1 - Policies for information security ISO 27001:2022 A.8.1 - User endpoint devices ISO 27001:2022 A.8.2 - Privileged access rights ISO 27001:2022 A.14.2 - Secure development ISO 27001:2022 A.14.3 - Test data
🟣 PCI DSS v4.0.1
PCI DSS 6.5.7 - Cross-site scripting (XSS) PCI DSS 6.2 - Security patches and updates PCI DSS 11.3 - Penetration testing
📦 المنتجات المتأثرة 50 منتج
adobe:commerce:2.4.4
adobe:commerce:2.4.4
adobe:commerce:2.4.4
adobe:commerce:2.4.4
adobe:commerce:2.4.4
adobe:commerce:2.4.4
adobe:commerce:2.4.4
adobe:commerce:2.4.4
adobe:commerce:2.4.4
adobe:commerce:2.4.4
adobe:commerce:2.4.4
adobe:commerce:2.4.4
adobe:commerce:2.4.4
adobe:commerce:2.4.4
adobe:commerce:2.4.4
adobe:commerce:2.4.4
adobe:commerce:2.4.4
adobe:commerce:2.4.5
adobe:commerce:2.4.5
adobe:commerce:2.4.5
adobe:commerce:2.4.5
adobe:commerce:2.4.5
adobe:commerce:2.4.5
adobe:commerce:2.4.5
adobe:commerce:2.4.5
adobe:commerce:2.4.5
adobe:commerce:2.4.5
adobe:commerce:2.4.5
adobe:commerce:2.4.5
adobe:commerce:2.4.5
adobe:commerce:2.4.5
adobe:commerce:2.4.5
adobe:commerce:2.4.5
adobe:commerce:2.4.6
adobe:commerce:2.4.6
adobe:commerce:2.4.6
adobe:commerce:2.4.6
adobe:commerce:2.4.6
adobe:commerce:2.4.6
adobe:commerce:2.4.6
adobe:commerce:2.4.6
adobe:commerce:2.4.6
adobe:commerce:2.4.6
adobe:commerce:2.4.6
adobe:commerce:2.4.6
adobe:commerce:2.4.6
adobe:commerce:2.4.6
adobe:commerce:2.4.7
adobe:commerce:2.4.7
adobe:commerce:2.4.7
📊 CVSS Score
8.7
/ 10.0 — مرتفع
📊 CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:H/I:H/A:N
Attack VectorN — None / Network
Attack ComplexityL — Low / Local
Privileges RequiredL — Low / Local
User InteractionR — Required
ScopeC — Changed
ConfidentialityH — High
IntegrityH — High
AvailabilityN — None / Network
📋 حقائق سريعة
الخطورة مرتفع
CVSS Score8.7
CWECWE-79
EPSS0.01%
اختراق متاح لا
تصحيح متاح ✗ لا
تاريخ النشر 2026-05-12
المصدر nvd
المشاهدات 1
🇸🇦 درجة المخاطر السعودية
8.2
/ 10.0 — مخاطر السعودية
أولوية: HIGH
🏷️ الوسوم
CWE-79
🏢 توجيهات البائع
🔗 https://helpx.adobe.com/security/products/magento/ap...
⚡ إجراءات
🔗 NVD Official Page ⚡ Exploit-DB Search 🐙 GitHub PoC Search 🎯 MITRE ATT&CK 📊 CVE Details
مشاركة ثغرة
LinkedIn X / Twitter WhatsApp Telegram
📣 وجدت هذا مفيداً؟
شاركه مع شبكة الأمن السيبراني الخاصة بك
in لينكدإن 𝕏 تويتر 💬 واتساب ✈ تليجرام
🍪 إعدادات الخصوصية
سيزو للاستشارات — متوافق مع نظام حماية البيانات الشخصية السعودي (PDPL)
نستخدم ملفات تعريف الارتباط والتقنيات المشابهة لتوفير أفضل تجربة على منصتنا. يمكنك اختيار الأنواع التي تقبلها.
🔒
ملفات ضرورية Always On
مطلوبة لعمل الموقع بشكل صحيح. لا يمكن تعطيلها.
📋 الجلسات، CSRF، المصادقة، تفضيلات اللغة
📊
ملفات التحليلات
تساعدنا في فهم كيفية استخدام الزوار للموقع وتحسين الأداء.
📋 إحصائيات الصفحات، مدة الجلسة، مصدر الزيارة
⚙️
ملفات وظيفية
تتيح ميزات محسنة مثل تخصيص المحتوى والتفضيلات.
📋 السمة المظلمة/الفاتحة، حجم الخط، لوحات التحكم المخصصة
📣
ملفات تسويقية
تُستخدم لتقديم محتوى وإعلانات ذات صلة باهتماماتك.
📋 تتبع الحملات، إعادة الاستهداف، تحليلات وسائل التواصل
سياسة الخصوصية →
مساعد CISO الذكي
اسألني أي شيء · وثائق · دعم
🔐

عرّفنا بنفسك

أدخل بياناتك للوصول إلى المساعد الكامل

معلوماتك آمنة ولن تُشارك
💬
المساعد السيبراني
متصل — يرد في ثوانٍ
5 / 5
🔐 تحقق من هويتك

أدخل بريدك الإلكتروني لإرسال رمز تحقق قبل إرسال طلب الدعم.

Enter للإرسال · / للأوامر 0 / 2000
CISO AI · مدعوم بالذكاء الاصطناعي
✦ استطلاع سريع ساعدنا في تحسين منصة سيزو للاستشارات ملاحظاتك تشكّل مستقبل منصتنا — لا تستغرق سوى دقيقتين.
⚠ يرجى الإجابة على هذا السؤال للمتابعة

كيف تقيّم تجربتك العامة مع منصتنا؟

قيّم من 1 (ضعيف) إلى 5 (ممتاز)

🎉
شكراً جزيلاً!
تم تسجيل إجابتك بنجاح.