📧 info@ciso.sa | 📱 +966550939344 | الرياض، المملكة العربية السعودية
عن المنصة الأسئلة الشائعة اتصل بنا شروط الخدمة سياسة الخصوصية 🌐 English
🔐

مرحباً — سجّل دخولك أو أنشئ حساباً للوصول الكامل.

🔑 دخول ✨ حساب جديد
🌐 EN تسجيل الدخول إنشاء حساب
🔧 صيانة مجدولة — السبت 2:00-4:00 صباحاً. قد تكون بعض الميزات غير متاحة مؤقتاً.    ●   
💎
خطة Pro بخصم 50% احصل على جميع ميزات AI والتقارير غير المحدودة والدعم ذي الأولوية. الترقية الآن
مركز البحث
ESC للإغلاق
تنقل فتح Ctrl+K بحث
CISO Consulting
Global vulnerability التعليم العالي CRITICAL 6h Global data_breach القطاع الحكومي HIGH 7h Global supply_chain تطوير البرمجيات والمجتمعات مفتوحة المصدر CRITICAL 7h Global malware تطوير البرمجيات CRITICAL 7h Global phishing قطاعات متعددة HIGH 7h Global vulnerability تطبيقات الويب CRITICAL 8h Global apt البنية التحتية الحرجة CRITICAL 8h Global ransomware قطاعات متعددة CRITICAL 8h Global supply_chain تطوير البرمجيات، البنية التحتية لتكنولوجيا المعلومات، التكنولوجيا CRITICAL 9h Global vulnerability,data_breach,general التكنولوجيا، أنظمة التحكم الصناعي، الاتصالات HIGH 10h Global vulnerability التعليم العالي CRITICAL 6h Global data_breach القطاع الحكومي HIGH 7h Global supply_chain تطوير البرمجيات والمجتمعات مفتوحة المصدر CRITICAL 7h Global malware تطوير البرمجيات CRITICAL 7h Global phishing قطاعات متعددة HIGH 7h Global vulnerability تطبيقات الويب CRITICAL 8h Global apt البنية التحتية الحرجة CRITICAL 8h Global ransomware قطاعات متعددة CRITICAL 8h Global supply_chain تطوير البرمجيات، البنية التحتية لتكنولوجيا المعلومات، التكنولوجيا CRITICAL 9h Global vulnerability,data_breach,general التكنولوجيا، أنظمة التحكم الصناعي، الاتصالات HIGH 10h Global vulnerability التعليم العالي CRITICAL 6h Global data_breach القطاع الحكومي HIGH 7h Global supply_chain تطوير البرمجيات والمجتمعات مفتوحة المصدر CRITICAL 7h Global malware تطوير البرمجيات CRITICAL 7h Global phishing قطاعات متعددة HIGH 7h Global vulnerability تطبيقات الويب CRITICAL 8h Global apt البنية التحتية الحرجة CRITICAL 8h Global ransomware قطاعات متعددة CRITICAL 8h Global supply_chain تطوير البرمجيات، البنية التحتية لتكنولوجيا المعلومات، التكنولوجيا CRITICAL 9h Global vulnerability,data_breach,general التكنولوجيا، أنظمة التحكم الصناعي، الاتصالات HIGH 10h
الثغرات

CVE-2026-5179

مرتفع
A vulnerability was detected in SourceCodester Simple Doctors Appointment System 1.0. This affects an unknown part of the file /admin/login.php. The manipulation of the argument Username results in sq
CWE-74 — نوع الضعف
نُشر: Mar 31, 2026  ·  آخر تحديث: Apr 7, 2026  ·  المصدر: NVD
CVSS v3
7.3
🔗 NVD الرسمي
📄 الوصف (الإنجليزية)

A vulnerability was detected in SourceCodester Simple Doctors Appointment System 1.0. This affects an unknown part of the file /admin/login.php. The manipulation of the argument Username results in sql injection. The attack can be executed remotely. The exploit is now public and may be used.

🤖 ملخص AI

A critical SQL injection vulnerability exists in SourceCodester Simple Doctors Appointment System 1.0 affecting the /admin/login.php file. The vulnerability allows remote attackers to manipulate the Username parameter to execute arbitrary SQL queries, potentially leading to unauthorized access, data exfiltration, and system compromise. With no patch currently available and public exploit details disclosed, immediate mitigation is required for all affected healthcare organizations in Saudi Arabia.

📄 الوصف (العربية)

🤖 التحليل الذكي آخر تحليل: May 7, 2026 01:54
🇸🇦 التأثير على المملكة العربية السعودية
Healthcare sector organizations using this system face critical risk, particularly private hospitals, clinics, and diagnostic centers managing patient appointment data. Government health facilities under MOH jurisdiction and ARAMCO healthcare services are at risk if using this platform. The SQL injection vulnerability could expose sensitive patient Personal Health Information (PHI), appointment records, and administrative credentials. Banking sector exposure is indirect but significant if healthcare providers process payments through integrated systems. Telecom providers offering healthcare IT services may also be affected.
🏢 القطاعات السعودية المتأثرة
Healthcare Government Health Services Private Hospitals and Clinics Diagnostic Centers Telecom (if providing healthcare IT services) Banking (indirect - payment processing integration)
⚖️ درجة المخاطر السعودية (AI)
8.2
/ 10.0
🔧 Remediation Steps (English)
IMMEDIATE ACTIONS:

1. Identify all instances of SourceCodester Simple Doctors Appointment System 1.0 in your environment

2. Isolate affected systems from production networks if possible

3. Enable enhanced logging and monitoring on /admin/login.php access

4. Implement Web Application Firewall (WAF) rules to block SQL injection patterns in Username parameter



WAF RULES:

- Block requests containing: ' OR, '; --, UNION SELECT, xp_, sp_, exec, execute

- Implement input validation: Username field should only accept alphanumeric characters and common symbols

- Rate limit login attempts to 5 per minute per IP



COMPENSATING CONTROLS:

1. Implement network segmentation - restrict admin login access to specific IP ranges

2. Deploy intrusion detection signatures for SQL injection attempts

3. Enable database activity monitoring (DAM) to detect anomalous queries

4. Implement multi-factor authentication (MFA) for admin accounts

5. Regular database backups (hourly minimum) with offline copies



PATCHING STRATEGY:

1. Contact SourceCodester for security updates or migrate to alternative healthcare appointment systems

2. If migration is not feasible, consider application-level patches through code review

3. Implement prepared statements and parameterized queries in custom modifications



DETECTION RULES:

- Monitor for HTTP requests to /admin/login.php with special characters in Username parameter

- Alert on database error messages returned in HTTP responses

- Track failed login attempts exceeding 10 per minute

- Monitor for UNION-based, time-based, or boolean-based SQL injection patterns
🔧 خطوات المعالجة (العربية)
الإجراءات الفورية:

1. تحديد جميع حالات SourceCodester Simple Doctors Appointment System الإصدار 1.0 في بيئتك

2. عزل الأنظمة المتأثرة عن شبكات الإنتاج إن أمكن

3. تفعيل السجلات والمراقبة المحسنة على وصول /admin/login.php

4. تطبيق قواعد جدار حماية تطبيقات الويب (WAF) لحجب أنماط حقن SQL في معامل اسم المستخدم



قواعد WAF:

- حجب الطلبات التي تحتوي على: ' OR, '; --, UNION SELECT, xp_, sp_, exec, execute

- تطبيق التحقق من الإدخال: يجب أن يقبل حقل اسم المستخدم فقط الأحرف الأبجدية الرقمية والرموز الشائعة

- تحديد معدل محاولات تسجيل الدخول إلى 5 لكل دقيقة لكل عنوان IP



الضوابط التعويضية:

1. تطبيق تقسيم الشبكة - تقييد وصول تسجيل دخول المسؤول إلى نطاقات IP محددة

2. نشر توقيعات كشف الاختراق لمحاولات حقن SQL

3. تفعيل مراقبة نشاط قاعدة البيانات (DAM) للكشف عن الاستعلامات الشاذة

4. تطبيق المصادقة متعددة العوامل (MFA) لحسابات المسؤول

5. نسخ احتياطية منتظمة لقاعدة البيانات (بحد أدنى كل ساعة) مع نسخ غير متصلة



استراتيجية التصحيح:

1. التواصل مع SourceCodester للحصول على تحديثات أمان أو الهجرة إلى أنظمة بديلة

2. إذا لم تكن الهجرة ممكنة، فكر في تصحيحات على مستوى التطبيق من خلال مراجعة الكود

3. تطبيق العبارات المحضرة والاستعلامات المعاملة في التعديلات المخصصة



قواعد الكشف:

- مراقبة طلبات HTTP إلى /admin/login.php بأحرف خاصة في معامل اسم المستخدم

- التنبيه على رسائل خطأ قاعدة البيانات المرجعة في استجابات HTTP

- تتبع محاولات تسجيل الدخول الفاشلة التي تتجاوز 10 لكل دقيقة

- مراقبة أنماط حقن SQL القائمة على UNION أو الوقت أو القيمة المنطقية
📋 خريطة الامتثال التنظيمي
🟢 NCA ECC 2024
A.5.2.1 - User access control and authentication mechanisms A.6.1.2 - Input validation and output encoding A.8.2.1 - Secure development practices A.8.2.3 - Security testing and vulnerability management A.12.6.1 - Management of technical vulnerabilities
🔵 SAMA CSF
ID.GV-1 - Organizational cybersecurity policy and governance PR.AC-1 - Access control policy and procedures PR.DS-6 - Data is protected from unauthorized access DE.CM-1 - The network is monitored for unauthorized connections RS.MI-1 - Incidents are contained and eradicated
🟡 ISO 27001:2022
A.5.15 - Access control A.8.22 - Secure development policy A.8.24 - Protection of development, test and acceptance environments A.12.2.1 - Vulnerability management A.12.6.1 - Management of technical vulnerabilities
🟣 PCI DSS v4.0.1
Requirement 1 - Install and maintain a firewall configuration Requirement 6.5.1 - Injection flaws prevention Requirement 6.5.10 - Broken authentication prevention Requirement 10 - Track and monitor all access to network resources
📊 CVSS Score
7.3
/ 10.0 — مرتفع
📊 CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:L/A:L
Attack VectorN — None / Network
Attack ComplexityL — Low / Local
Privileges RequiredN — None / Network
User InteractionN — None / Network
ScopeU — Unchanged
ConfidentialityL — Low / Local
IntegrityL — Low / Local
AvailabilityL — Low / Local
📋 حقائق سريعة
الخطورة مرتفع
CVSS Score7.3
CWECWE-74
EPSS0.03%
اختراق متاح لا
تصحيح متاح ✗ لا
تاريخ النشر 2026-03-31
المصدر nvd
المشاهدات 5
🇸🇦 درجة المخاطر السعودية
8.2
/ 10.0 — مخاطر السعودية
أولوية: CRITICAL
🏷️ الوسوم
CWE-74
⚡ إجراءات
🔗 NVD Official Page ⚡ Exploit-DB Search 🐙 GitHub PoC Search 🎯 MITRE ATT&CK 📊 CVE Details
مشاركة ثغرة
LinkedIn X / Twitter WhatsApp Telegram

💬 التعليقات

0
جارٍ التحميل
📣 وجدت هذا مفيداً؟
شاركه مع شبكة الأمن السيبراني الخاصة بك
in لينكدإن 𝕏 تويتر 💬 واتساب ✈ تليجرام
🍪 إعدادات الخصوصية
سيزو للاستشارات — متوافق مع نظام حماية البيانات الشخصية السعودي (PDPL)
نستخدم ملفات تعريف الارتباط والتقنيات المشابهة لتوفير أفضل تجربة على منصتنا. يمكنك اختيار الأنواع التي تقبلها.
🔒
ملفات ضرورية Always On
مطلوبة لعمل الموقع بشكل صحيح. لا يمكن تعطيلها.
📋 الجلسات، CSRF، المصادقة، تفضيلات اللغة
📊
ملفات التحليلات
تساعدنا في فهم كيفية استخدام الزوار للموقع وتحسين الأداء.
📋 إحصائيات الصفحات، مدة الجلسة، مصدر الزيارة
⚙️
ملفات وظيفية
تتيح ميزات محسنة مثل تخصيص المحتوى والتفضيلات.
📋 السمة المظلمة/الفاتحة، حجم الخط، لوحات التحكم المخصصة
📣
ملفات تسويقية
تُستخدم لتقديم محتوى وإعلانات ذات صلة باهتماماتك.
📋 تتبع الحملات، إعادة الاستهداف، تحليلات وسائل التواصل
سياسة الخصوصية →
مساعد CISO الذكي
اسألني أي شيء · وثائق · دعم
🔐

عرّفنا بنفسك

أدخل بياناتك للوصول إلى المساعد الكامل

معلوماتك آمنة ولن تُشارك
💬
المساعد السيبراني
متصل — يرد في ثوانٍ
5 / 5
🔐 تحقق من هويتك

أدخل بريدك الإلكتروني لإرسال رمز تحقق قبل إرسال طلب الدعم.

Enter للإرسال · / للأوامر 0 / 2000
CISO AI · مدعوم بالذكاء الاصطناعي
✦ استطلاع سريع ساعدنا في تحسين منصة سيزو للاستشارات ملاحظاتك تشكّل مستقبل منصتنا — لا تستغرق سوى دقيقتين.
⚠ يرجى الإجابة على هذا السؤال للمتابعة

كيف تقيّم تجربتك العامة مع منصتنا؟

قيّم من 1 (ضعيف) إلى 5 (ممتاز)

🎉
شكراً جزيلاً!
تم تسجيل إجابتك بنجاح.