📧 info@ciso.sa | 📱 +966550939344 | الرياض، المملكة العربية السعودية
عن المنصة الأسئلة الشائعة اتصل بنا شروط الخدمة سياسة الخصوصية 🌐 English
🔐

مرحباً — سجّل دخولك أو أنشئ حساباً للوصول الكامل.

🔑 دخول ✨ حساب جديد
🌐 EN تسجيل الدخول إنشاء حساب
🔧 صيانة مجدولة — السبت 2:00-4:00 صباحاً. قد تكون بعض الميزات غير متاحة مؤقتاً.    ●   
💎
خطة Pro بخصم 50% احصل على جميع ميزات AI والتقارير غير المحدودة والدعم ذي الأولوية. الترقية الآن
مركز البحث
ESC للإغلاق
تنقل فتح Ctrl+K بحث
CISO Consulting
Global vulnerability الذكاء الاصطناعي والتكنولوجيا HIGH 3h Global general قطاع التكنولوجيا والذكاء الاصطناعي MEDIUM 7h Global general قطاع التكنولوجيا والذكاء الاصطناعي HIGH 8h Global vulnerability التعليم العالي CRITICAL 17h Global data_breach القطاع الحكومي HIGH 18h Global supply_chain تطوير البرمجيات والمجتمعات مفتوحة المصدر CRITICAL 18h Global malware تطوير البرمجيات CRITICAL 18h Global phishing قطاعات متعددة HIGH 18h Global vulnerability تطبيقات الويب CRITICAL 19h Global apt البنية التحتية الحرجة CRITICAL 19h Global vulnerability الذكاء الاصطناعي والتكنولوجيا HIGH 3h Global general قطاع التكنولوجيا والذكاء الاصطناعي MEDIUM 7h Global general قطاع التكنولوجيا والذكاء الاصطناعي HIGH 8h Global vulnerability التعليم العالي CRITICAL 17h Global data_breach القطاع الحكومي HIGH 18h Global supply_chain تطوير البرمجيات والمجتمعات مفتوحة المصدر CRITICAL 18h Global malware تطوير البرمجيات CRITICAL 18h Global phishing قطاعات متعددة HIGH 18h Global vulnerability تطبيقات الويب CRITICAL 19h Global apt البنية التحتية الحرجة CRITICAL 19h Global vulnerability الذكاء الاصطناعي والتكنولوجيا HIGH 3h Global general قطاع التكنولوجيا والذكاء الاصطناعي MEDIUM 7h Global general قطاع التكنولوجيا والذكاء الاصطناعي HIGH 8h Global vulnerability التعليم العالي CRITICAL 17h Global data_breach القطاع الحكومي HIGH 18h Global supply_chain تطوير البرمجيات والمجتمعات مفتوحة المصدر CRITICAL 18h Global malware تطوير البرمجيات CRITICAL 18h Global phishing قطاعات متعددة HIGH 18h Global vulnerability تطبيقات الويب CRITICAL 19h Global apt البنية التحتية الحرجة CRITICAL 19h
الثغرات

CVE-2026-4352

مرتفع
CWE-89 — نوع الضعف
نُشر: Apr 14, 2026  ·  آخر تحديث: Apr 20, 2026  ·  المصدر: NVD
CVSS v3
7.5
🔗 NVD الرسمي
📄 الوصف (الإنجليزية)

The JetEngine plugin for WordPress is vulnerable to SQL Injection via the Custom Content Type (CCT) REST API search endpoint in all versions up to, and including, 3.8.6.1. This is due to the `_cct_search` parameter being interpolated directly into a SQL query string via `sprintf()` without sanitization or use of `$wpdb->prepare()`. WordPress REST API's `wp_unslash()` call on `$_GET` strips the `wp_magic_quotes()` protection, allowing single-quote-based injection. This makes it possible for unauthenticated attackers to append additional SQL queries into already existing queries that can be used to extract sensitive information from the database. The Custom Content Types module must be enabled with at least one CCT configured with a public REST GET endpoint for exploitation.

🤖 ملخص AI

CVE-2026-4352 is a critical SQL injection vulnerability in the JetEngine WordPress plugin (versions ≤3.8.6.1) affecting the Custom Content Type REST API search endpoint. Unauthenticated attackers can inject SQL queries to extract sensitive database information without authentication. This vulnerability poses significant risk to Saudi organizations using WordPress with JetEngine for content management, particularly those handling customer data or financial information.

📄 الوصف (العربية)

🤖 التحليل الذكي آخر تحليل: May 1, 2026 20:00
🇸🇦 التأثير على المملكة العربية السعودية
High impact for Saudi banking sector (SAMA-regulated institutions), government agencies (NCA oversight), healthcare providers (MOH), e-commerce platforms, and media organizations using WordPress with JetEngine. Risk is elevated for organizations storing customer PII, financial records, or government data. Telecom sector (STC, Mobily) and energy sector websites using this plugin are also at risk. The unauthenticated nature of the attack makes this particularly dangerous for public-facing applications.
🏢 القطاعات السعودية المتأثرة
Banking & Financial Services Government & Public Administration Healthcare E-commerce & Retail Media & Publishing Telecommunications Energy & Utilities
⚖️ درجة المخاطر السعودية (AI)
8.2
/ 10.0
🔧 Remediation Steps (English)
IMMEDIATE ACTIONS:

1. Disable the JetEngine plugin immediately if not critical to operations

2. If Custom Content Types (CCT) module is enabled, disable it until patching is available

3. Restrict REST API access to authenticated users only via .htaccess or WAF rules

4. Implement IP whitelisting for REST API endpoints if possible



DETECTION & MONITORING:

5. Monitor WordPress logs for REST API requests to /wp-json/*/cct-search endpoints

6. Search for SQL injection patterns in query strings: single quotes, UNION, SELECT, OR 1=1

7. Review database access logs for unusual queries from web server user

8. Check for suspicious database exports or data exfiltration



COMPENSATING CONTROLS:

9. Implement WAF rules to block SQL injection patterns in REST API requests

10. Use WordPress security plugins (Wordfence, Sucuri) to block malicious requests

11. Apply input validation at WAF level for _cct_search parameter

12. Enable WordPress REST API authentication requirements

13. Regularly audit database for unauthorized access or modifications



PATCHING:

14. Monitor JetEngine GitHub/official channels for security patch release

15. Plan immediate update deployment once patch is available

16. Test patch in staging environment before production deployment
🔧 خطوات المعالجة (العربية)
الإجراءات الفورية:

1. تعطيل مكون JetEngine فوراً إذا لم يكن حرجاً للعمليات

2. إذا كانت وحدة Custom Content Types (CCT) مفعلة، قم بتعطيلها حتى يتوفر التصحيح

3. تقييد وصول REST API للمستخدمين المصرح لهم فقط عبر .htaccess أو قواعد WAF

4. تطبيق القائمة البيضاء للعناوين IP لنقاط نهاية REST API إن أمكن



الكشف والمراقبة:

5. مراقبة سجلات WordPress للطلبات إلى /wp-json/*/cct-search

6. البحث عن أنماط حقن SQL: علامات اقتباس مفردة، UNION، SELECT، OR 1=1

7. مراجعة سجلات وصول قاعدة البيانات للاستعلامات غير العادية

8. التحقق من التصدير غير المصرح به للبيانات



الضوابط البديلة:

9. تطبيق قواعد WAF لحجب أنماط حقن SQL في طلبات REST API

10. استخدام مكونات أمان WordPress (Wordfence, Sucuri)

11. تطبيق التحقق من الإدخال على مستوى WAF

12. تفعيل متطلبات المصادقة لـ REST API

13. تدقيق منتظم لقاعدة البيانات للوصول غير المصرح به



التصحيح:

14. مراقبة قنوات JetEngine الرسمية لإصدار التصحيح الأمني

15. التخطيط للتحديث الفوري عند توفر التصحيح

16. اختبار التصحيح في بيئة الاختبار قبل الإنتاج
📋 خريطة الامتثال التنظيمي
🟢 NCA ECC 2024
A.14.2.1 - Secure development policy A.14.2.5 - Secure development environment A.12.6.1 - Management of technical vulnerabilities A.12.2.1 - Monitoring of system use
🔵 SAMA CSF
ID.GV-1 - Organizational processes to manage cybersecurity risk PR.DS-1 - Data security management PR.IP-12 - Software development security DE.CM-1 - The network is monitored to detect potential cybersecurity events
🟡 ISO 27001:2022
A.12.2.1 - Monitoring of system use A.12.6.1 - Management of technical vulnerabilities A.14.2.1 - Secure development policy A.14.2.5 - Secure development environment
🟣 PCI DSS v4.0.1
6.2 - Ensure all system components and software are protected from known vulnerabilities 6.5.1 - Injection flaws prevention 11.2 - Run automated vulnerability scanning tools
📊 CVSS Score
7.5
/ 10.0 — مرتفع
📊 CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N
Attack VectorN — None / Network
Attack ComplexityL — Low / Local
Privileges RequiredN — None / Network
User InteractionN — None / Network
ScopeU — Unchanged
ConfidentialityH — High
IntegrityN — None / Network
AvailabilityN — None / Network
📋 حقائق سريعة
الخطورة مرتفع
CVSS Score7.5
CWECWE-89
EPSS0.08%
اختراق متاح لا
تصحيح متاح ✗ لا
تاريخ النشر 2026-04-14
المصدر nvd
المشاهدات 5
🇸🇦 درجة المخاطر السعودية
8.2
/ 10.0 — مخاطر السعودية
أولوية: CRITICAL
🏷️ الوسوم
CWE-89
⚡ إجراءات
🔗 NVD Official Page ⚡ Exploit-DB Search 🐙 GitHub PoC Search 🎯 MITRE ATT&CK 📊 CVE Details
مشاركة ثغرة
LinkedIn X / Twitter WhatsApp Telegram

💬 التعليقات

0
جارٍ التحميل
📣 وجدت هذا مفيداً؟
شاركه مع شبكة الأمن السيبراني الخاصة بك
in لينكدإن 𝕏 تويتر 💬 واتساب ✈ تليجرام
🍪 إعدادات الخصوصية
سيزو للاستشارات — متوافق مع نظام حماية البيانات الشخصية السعودي (PDPL)
نستخدم ملفات تعريف الارتباط والتقنيات المشابهة لتوفير أفضل تجربة على منصتنا. يمكنك اختيار الأنواع التي تقبلها.
🔒
ملفات ضرورية Always On
مطلوبة لعمل الموقع بشكل صحيح. لا يمكن تعطيلها.
📋 الجلسات، CSRF، المصادقة، تفضيلات اللغة
📊
ملفات التحليلات
تساعدنا في فهم كيفية استخدام الزوار للموقع وتحسين الأداء.
📋 إحصائيات الصفحات، مدة الجلسة، مصدر الزيارة
⚙️
ملفات وظيفية
تتيح ميزات محسنة مثل تخصيص المحتوى والتفضيلات.
📋 السمة المظلمة/الفاتحة، حجم الخط، لوحات التحكم المخصصة
📣
ملفات تسويقية
تُستخدم لتقديم محتوى وإعلانات ذات صلة باهتماماتك.
📋 تتبع الحملات، إعادة الاستهداف، تحليلات وسائل التواصل
سياسة الخصوصية →
مساعد CISO الذكي
اسألني أي شيء · وثائق · دعم
🔐

عرّفنا بنفسك

أدخل بياناتك للوصول إلى المساعد الكامل

معلوماتك آمنة ولن تُشارك
💬
المساعد السيبراني
متصل — يرد في ثوانٍ
5 / 5
🔐 تحقق من هويتك

أدخل بريدك الإلكتروني لإرسال رمز تحقق قبل إرسال طلب الدعم.

Enter للإرسال · / للأوامر 0 / 2000
CISO AI · مدعوم بالذكاء الاصطناعي
✦ استطلاع سريع ساعدنا في تحسين منصة سيزو للاستشارات ملاحظاتك تشكّل مستقبل منصتنا — لا تستغرق سوى دقيقتين.
⚠ يرجى الإجابة على هذا السؤال للمتابعة

كيف تقيّم تجربتك العامة مع منصتنا؟

قيّم من 1 (ضعيف) إلى 5 (ممتاز)

🎉
شكراً جزيلاً!
تم تسجيل إجابتك بنجاح.