📧 info@ciso.sa | 📱 +966550939344 | الرياض، المملكة العربية السعودية
عن المنصة الأسئلة الشائعة اتصل بنا شروط الخدمة سياسة الخصوصية 🌐 English
🔐

مرحباً — سجّل دخولك أو أنشئ حساباً للوصول الكامل.

🔑 دخول ✨ حساب جديد
🌐 EN تسجيل الدخول إنشاء حساب
🔧 صيانة مجدولة — السبت 2:00-4:00 صباحاً. قد تكون بعض الميزات غير متاحة مؤقتاً.    ●   
💎
خطة Pro بخصم 50% احصل على جميع ميزات AI والتقارير غير المحدودة والدعم ذي الأولوية. الترقية الآن
مركز البحث
ESC للإغلاق
تنقل فتح Ctrl+K بحث
CISO Consulting
Global phishing عبر القطاعات HIGH 4h Global data_breach الطاقة CRITICAL 6h Global phishing الحكومة/متعدد القطاعات HIGH 7h Global apt التعليم CRITICAL 9h Global vulnerability برامج المؤسسات / أنظمة تخطيط موارد المؤسسات CRITICAL 10h Global vulnerability البنية التحتية لتكنولوجيا المعلومات CRITICAL 11h Global vulnerability قطاع التكنولوجيا وتطوير البرمجيات HIGH 11h Global vulnerability قطاع تكنولوجيا المعلومات والحكومة CRITICAL 12h Global ransomware قطاعات متعددة / المؤسسات CRITICAL 12h Global general التكنولوجيا والقطاع القانوني MEDIUM 13h Global phishing عبر القطاعات HIGH 4h Global data_breach الطاقة CRITICAL 6h Global phishing الحكومة/متعدد القطاعات HIGH 7h Global apt التعليم CRITICAL 9h Global vulnerability برامج المؤسسات / أنظمة تخطيط موارد المؤسسات CRITICAL 10h Global vulnerability البنية التحتية لتكنولوجيا المعلومات CRITICAL 11h Global vulnerability قطاع التكنولوجيا وتطوير البرمجيات HIGH 11h Global vulnerability قطاع تكنولوجيا المعلومات والحكومة CRITICAL 12h Global ransomware قطاعات متعددة / المؤسسات CRITICAL 12h Global general التكنولوجيا والقطاع القانوني MEDIUM 13h Global phishing عبر القطاعات HIGH 4h Global data_breach الطاقة CRITICAL 6h Global phishing الحكومة/متعدد القطاعات HIGH 7h Global apt التعليم CRITICAL 9h Global vulnerability برامج المؤسسات / أنظمة تخطيط موارد المؤسسات CRITICAL 10h Global vulnerability البنية التحتية لتكنولوجيا المعلومات CRITICAL 11h Global vulnerability قطاع التكنولوجيا وتطوير البرمجيات HIGH 11h Global vulnerability قطاع تكنولوجيا المعلومات والحكومة CRITICAL 12h Global ransomware قطاعات متعددة / المؤسسات CRITICAL 12h Global general التكنولوجيا والقطاع القانوني MEDIUM 13h
الثغرات

CVE-2026-4825

متوسط
A vulnerability was found in SourceCodester Sales and Inventory System 1.0. This affects an unknown part of the file /update_sales.php of the component HTTP GET Parameter Handler. The manipulation of
CWE-74 — نوع الضعف
نُشر: Mar 25, 2026  ·  آخر تحديث: Mar 28, 2026  ·  المصدر: NVD
CVSS v3
6.3
🔗 NVD الرسمي
📄 الوصف (الإنجليزية)

A vulnerability was found in SourceCodester Sales and Inventory System 1.0. This affects an unknown part of the file /update_sales.php of the component HTTP GET Parameter Handler. The manipulation of the argument sid results in sql injection. The attack may be launched remotely. The exploit has been made public and could be used.

🤖 ملخص AI

CVE-2026-4825 is a SQL injection vulnerability in SourceCodester Sales and Inventory System 1.0 affecting the /update_sales.php endpoint via the 'sid' parameter. With a CVSS score of 6.3 (medium) and publicly disclosed exploit code, this poses a moderate risk to organizations using this system. No patch is currently available, requiring immediate compensating controls and system isolation.

📄 الوصف (العربية)

🤖 التحليل الذكي آخر تحليل: May 17, 2026 21:55
🇸🇦 التأثير على المملكة العربية السعودية
This vulnerability primarily impacts Saudi retail, wholesale, and small-to-medium enterprises (SMEs) using SourceCodester for inventory management. High-risk sectors include: retail chains, pharmaceutical distributors, food and beverage wholesalers, and logistics companies. Banking sector exposure is moderate if integrated with payment systems. Government procurement entities using this system face data breach risks. The vulnerability allows attackers to extract sensitive sales data, customer information, and potentially manipulate inventory records, directly impacting business operations and regulatory compliance.
🏢 القطاعات السعودية المتأثرة
Retail and E-commerce Wholesale and Distribution Pharmaceutical Food and Beverage Logistics and Supply Chain Small and Medium Enterprises (SMEs) Government Procurement Healthcare (if used for inventory)
⚖️ درجة المخاطر السعودية (AI)
6.8
/ 10.0
🔧 Remediation Steps (English)
IMMEDIATE ACTIONS:

1. Identify all systems running SourceCodester Sales and Inventory System 1.0 across your organization

2. Isolate affected systems from production networks if possible, or restrict access to trusted networks only

3. Disable or restrict HTTP GET requests to /update_sales.php endpoint

4. Implement Web Application Firewall (WAF) rules to block SQL injection patterns in 'sid' parameter



COMPENSATING CONTROLS:

1. Deploy input validation: whitelist only numeric values for 'sid' parameter

2. Implement parameterized queries/prepared statements in application code

3. Apply principle of least privilege to database accounts used by the application

4. Enable database query logging and monitoring for suspicious SQL patterns

5. Implement rate limiting on /update_sales.php endpoint



DETECTION RULES:

1. Monitor for SQL keywords (UNION, SELECT, DROP, INSERT) in 'sid' parameter logs

2. Alert on unusual database query patterns or failed authentication attempts

3. Track HTTP requests containing SQL metacharacters (', ", ;, --, /*) in GET parameters

4. Monitor for multiple rapid requests to /update_sales.php from same source



PATCHING STRATEGY:

1. Contact SourceCodester for security updates or consider alternative solutions

2. Evaluate migration to patched versions or alternative inventory management systems

3. If no patch available, implement code review and manual patching of vulnerable code

4. Establish vendor communication protocol for future security updates
🔧 خطوات المعالجة (العربية)
الإجراءات الفورية:

1. تحديد جميع الأنظمة التي تعمل بنظام SourceCodester للمبيعات والمخزون الإصدار 1.0 في المنظمة

2. عزل الأنظمة المتأثرة عن شبكات الإنتاج إن أمكن، أو تقييد الوصول للشبكات الموثوقة فقط

3. تعطيل أو تقييد طلبات HTTP GET إلى نقطة النهاية /update_sales.php

4. تطبيق قواعد جدار حماية تطبيقات الويب (WAF) لحجب أنماط حقن SQL في معامل 'sid'



الضوابط التعويضية:

1. نشر التحقق من المدخلات: قائمة بيضاء للقيم الرقمية فقط لمعامل 'sid'

2. تطبيق الاستعلامات المعاملة/البيانات المحضرة في كود التطبيق

3. تطبيق مبدأ أقل صلاحية على حسابات قاعدة البيانات المستخدمة من التطبيق

4. تفعيل تسجيل استعلامات قاعدة البيانات ومراقبة الأنماط المريبة

5. تطبيق تحديد معدل الطلبات على نقطة النهاية /update_sales.php



قواعد الكشف:

1. مراقبة كلمات SQL (UNION, SELECT, DROP, INSERT) في سجلات معامل 'sid'

2. تنبيهات على أنماط استعلامات قاعدة البيانات غير العادية أو محاولات المصادقة الفاشلة

3. تتبع طلبات HTTP التي تحتوي على أحرف SQL الخاصة (', ", ;, --, /*) في معاملات GET

4. مراقبة طلبات متعددة سريعة إلى /update_sales.php من نفس المصدر



استراتيجية التصحيح:

1. التواصل مع SourceCodester للحصول على تحديثات أمان أو النظر في حلول بديلة

2. تقييم الترقية إلى إصدارات معدلة أو أنظمة إدارة مخزون بديلة

3. إذا لم يتوفر تصحيح، تطبيق مراجعة الكود والتصحيح اليدوي للكود الضعيف

4. إنشاء بروتوكول اتصال مع المورد للتحديثات الأمنية المستقبلية
📋 خريطة الامتثال التنظيمي
🟢 NCA ECC 2024
A.14.2.1 - Secure development policy A.14.2.5 - Secure development environment A.12.6.1 - Management of technical vulnerabilities A.12.6.2 - Restrictions on software installation
🔵 SAMA CSF
ID.RA-1 - Asset management and criticality assessment PR.DS-6 - Integrity checking mechanisms DE.CM-1 - Detection processes and tools RS.MI-1 - Incident response and management
🟡 ISO 27001:2022
A.12.2.1 - Restrictions on software installation A.12.6.1 - Management of technical vulnerabilities A.14.2.1 - Secure development policy A.14.2.5 - Secure development environment
🟣 PCI DSS v4.0.1
6.2 - Security patches and updates 6.5.1 - Injection flaws 11.2 - Vulnerability scanning
📊 CVSS Score
6.3
/ 10.0 — متوسط
📊 CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:L/A:L
Attack VectorN — None / Network
Attack ComplexityL — Low / Local
Privileges RequiredL — Low / Local
User InteractionN — None / Network
ScopeU — Unchanged
ConfidentialityL — Low / Local
IntegrityL — Low / Local
AvailabilityL — Low / Local
📋 حقائق سريعة
الخطورة متوسط
CVSS Score6.3
CWECWE-74
اختراق متاح لا
تصحيح متاح ✗ لا
تاريخ النشر 2026-03-25
المصدر nvd
المشاهدات 5
🇸🇦 درجة المخاطر السعودية
6.8
/ 10.0 — مخاطر السعودية
أولوية: HIGH
🏷️ الوسوم
CWE-74
⚡ إجراءات
🔗 NVD Official Page ⚡ Exploit-DB Search 🐙 GitHub PoC Search 🎯 MITRE ATT&CK 📊 CVE Details
مشاركة ثغرة
LinkedIn X / Twitter WhatsApp Telegram
📣 وجدت هذا مفيداً؟
شاركه مع شبكة الأمن السيبراني الخاصة بك
in لينكدإن 𝕏 تويتر 💬 واتساب ✈ تليجرام
🍪 إعدادات الخصوصية
سيزو للاستشارات — متوافق مع نظام حماية البيانات الشخصية السعودي (PDPL)
نستخدم ملفات تعريف الارتباط والتقنيات المشابهة لتوفير أفضل تجربة على منصتنا. يمكنك اختيار الأنواع التي تقبلها.
🔒
ملفات ضرورية Always On
مطلوبة لعمل الموقع بشكل صحيح. لا يمكن تعطيلها.
📋 الجلسات، CSRF، المصادقة، تفضيلات اللغة
📊
ملفات التحليلات
تساعدنا في فهم كيفية استخدام الزوار للموقع وتحسين الأداء.
📋 إحصائيات الصفحات، مدة الجلسة، مصدر الزيارة
⚙️
ملفات وظيفية
تتيح ميزات محسنة مثل تخصيص المحتوى والتفضيلات.
📋 السمة المظلمة/الفاتحة، حجم الخط، لوحات التحكم المخصصة
📣
ملفات تسويقية
تُستخدم لتقديم محتوى وإعلانات ذات صلة باهتماماتك.
📋 تتبع الحملات، إعادة الاستهداف، تحليلات وسائل التواصل
سياسة الخصوصية →
مساعد CISO الذكي
اسألني أي شيء · وثائق · دعم
🔐

عرّفنا بنفسك

أدخل بياناتك للوصول إلى المساعد الكامل

معلوماتك آمنة ولن تُشارك
💬
المساعد السيبراني
متصل — يرد في ثوانٍ
5 / 5
🔐 تحقق من هويتك

أدخل بريدك الإلكتروني لإرسال رمز تحقق قبل إرسال طلب الدعم.

Enter للإرسال · / للأوامر 0 / 2000
CISO AI · مدعوم بالذكاء الاصطناعي
✦ استطلاع سريع ساعدنا في تحسين منصة سيزو للاستشارات ملاحظاتك تشكّل مستقبل منصتنا — لا تستغرق سوى دقيقتين.
⚠ يرجى الإجابة على هذا السؤال للمتابعة

كيف تقيّم تجربتك العامة مع منصتنا؟

قيّم من 1 (ضعيف) إلى 5 (ممتاز)

🎉
شكراً جزيلاً!
تم تسجيل إجابتك بنجاح.