📄 الوصف (الإنجليزية)
Endian Firewall version 3.3.25 and prior allow stored cross-site scripting (XSS) via the DOMAIN parameter to /cgi-bin/smtpdomains.cgi. An authenticated attacker can inject arbitrary JavaScript that is stored and executed when other users view the affected page.
🤖 ملخص AI
Endian Firewall versions 3.3.25 and earlier contain a stored XSS vulnerability in the SMTP domains configuration interface that allows authenticated attackers to inject malicious JavaScript. While requiring authentication, the vulnerability poses a significant risk in multi-user environments where administrative access is shared or compromised. No patch is currently available, requiring immediate compensating controls.
📄 الوصف (العربية)
🤖 التحليل الذكي آخر تحليل: May 16, 2026 15:17
🇸🇦 التأثير على المملكة العربية السعودية
Saudi organizations using Endian Firewall as perimeter security are at risk, particularly in banking sector (SAMA-regulated institutions), government agencies (NCA oversight), and telecommunications providers (STC, Mobily). The vulnerability is especially critical for organizations with multiple administrators or shared administrative credentials. Compromised administrative accounts could lead to lateral movement, credential harvesting, or malware distribution across the organization's email infrastructure.
🏢 القطاعات السعودية المتأثرة
Banking and Financial Services
Government and Public Administration
Telecommunications
Energy and Utilities
Healthcare
Education
🎯 تقنيات MITRE ATT&CK
⚖️ درجة المخاطر السعودية (AI)
6.8
/ 10.0
🔧 Remediation Steps (English)
IMMEDIATE ACTIONS:
1. Audit all administrative accounts accessing Endian Firewall for unauthorized activity in SMTP domain configurations
2. Review access logs for /cgi-bin/smtpdomains.cgi for suspicious modifications
3. Restrict administrative access to Endian Firewall to minimal required personnel with strong authentication (MFA if supported)
4. Implement network segmentation to limit access to Endian Firewall management interface
COMPENSATING CONTROLS:
1. Deploy Web Application Firewall (WAF) rules to detect and block XSS payloads in DOMAIN parameter submissions
2. Implement Content Security Policy (CSP) headers if Endian Firewall supports custom headers
3. Monitor for JavaScript execution in administrative interfaces using browser-based security extensions
4. Conduct regular security audits of SMTP domain configurations for suspicious entries
5. Implement email gateway logging and monitoring for anomalous SMTP behavior
DETECTION RULES:
1. Alert on POST requests to /cgi-bin/smtpdomains.cgi containing script tags, event handlers (onclick, onerror), or JavaScript protocols
2. Monitor for DOMAIN parameter values exceeding normal length thresholds
3. Track administrative user sessions accessing SMTP configuration pages
4. Log and alert on any modifications to SMTP domain settings with timestamp and user attribution
🔧 خطوات المعالجة (العربية)
الإجراءات الفورية:
1. تدقيق جميع الحسابات الإدارية التي تصل إلى جدار حماية Endian للكشف عن النشاط غير المصرح به في إعدادات نطاقات SMTP
2. مراجعة سجلات الوصول لـ /cgi-bin/smtpdomains.cgi للتعديلات المريبة
3. تقييد الوصول الإداري إلى جدار حماية Endian للموظفين المطلوبين بحد أدنى مع مصادقة قوية (MFA إن أمكن)
4. تنفيذ تقسيم الشبكة لتحديد الوصول إلى واجهة إدارة جدار حماية Endian
الضوابط التعويضية:
1. نشر قواعد جدار تطبيقات الويب (WAF) للكشف عن حمولات XSS وحجبها في تقديمات معامل DOMAIN
2. تنفيذ رؤوس سياسة أمان المحتوى (CSP) إذا كان جدار حماية Endian يدعم رؤوس مخصصة
3. مراقبة تنفيذ JavaScript في الواجهات الإدارية باستخدام امتدادات الأمان المستندة إلى المتصفح
4. إجراء عمليات تدقيق أمان منتظمة لإعدادات نطاقات SMTP للبحث عن إدخالات مريبة
5. تنفيذ تسجيل ومراقبة بوابة البريد الإلكتروني للسلوك غير الطبيعي في SMTP
قواعد الكشف:
1. تنبيه على طلبات POST إلى /cgi-bin/smtpdomains.cgi تحتوي على علامات script أو معالجات الأحداث أو بروتوكولات JavaScript
2. مراقبة قيم معامل DOMAIN التي تتجاوز حدود الطول الطبيعية
3. تتبع جلسات المستخدمين الإداريين الذين يصلون إلى صفحات إعدادات SMTP
4. تسجيل والتنبيه على أي تعديلات على إعدادات نطاقات SMTP مع الطابع الزمني وإسناد المستخدم
📋 خريطة الامتثال التنظيمي
🟢 NCA ECC 2024
5.1.1 - Access Control and Authentication
5.2.1 - User Access Management
5.3.1 - Privileged Access Management
6.1.1 - Security Event Logging
6.2.1 - Monitoring and Alerting
🔵 SAMA CSF
Governance & Risk Management - Access Control
Governance & Risk Management - Privileged Access Management
Detection & Response - Security Monitoring
Detection & Response - Incident Detection
🟡 ISO 27001:2022
A.5.1.1 - Policies for information security
A.5.2.1 - Information security responsibilities
A.5.3.1 - Segregation of duties
A.6.2.1 - User registration and de-registration
A.8.1.1 - User endpoint devices
A.8.2.1 - Privileged access rights
A.8.3.1 - Information access restriction
A.8.3.2 - Access to networks and network services