📄 الوصف (الإنجليزية)
A vulnerability has been found in code-projects Online Application System for Admission 1.0. This issue affects some unknown processing of the file /enrollment/admsnform.php of the component Endpoint. Such manipulation leads to sql injection. The attack can be executed remotely. The exploit has been disclosed to the public and may be used.
🤖 ملخص AI
CVE-2026-5649 is a SQL injection vulnerability in code-projects Online Application System for Admission 1.0 affecting the /enrollment/admsnform.php endpoint. With a CVSS score of 6.3 (medium) and publicly disclosed exploit details, this poses a moderate risk to educational institutions and government agencies using this system. No patch is currently available, requiring immediate compensating controls and input validation hardening.
📄 الوصف (العربية)
🤖 التحليل الذكي آخر تحليل: May 19, 2026 19:19
🇸🇦 التأثير على المملكة العربية السعودية
This vulnerability primarily impacts Saudi educational institutions (universities, colleges) and government agencies using this admission system. Secondary risk to Ministry of Education (MOE), ARAMCO HR systems if deployed, and any government entity managing online applications. The SQL injection could lead to unauthorized access to sensitive applicant data, manipulation of admission records, and potential data exfiltration of personal information (national IDs, contact details, academic records).
🏢 القطاعات السعودية المتأثرة
Education (Universities, Colleges)
Government (Ministry of Education, Civil Service)
Healthcare (if used for staff recruitment)
Energy (ARAMCO HR systems if deployed)
🎯 تقنيات MITRE ATT&CK
⚖️ درجة المخاطر السعودية (AI)
6.8
/ 10.0
🔧 Remediation Steps (English)
IMMEDIATE ACTIONS:
1. Disable or restrict access to /enrollment/admsnform.php endpoint until patched
2. Implement Web Application Firewall (WAF) rules to block SQL injection patterns in enrollment parameters
3. Enable detailed logging and monitoring of all requests to the vulnerable endpoint
PATCHING GUIDANCE:
1. Contact code-projects for security patch availability and timeline
2. If no patch forthcoming, consider migrating to alternative admission management systems
3. Implement input validation: use parameterized queries/prepared statements for all database interactions
4. Apply strict input filtering: whitelist allowed characters, reject special SQL characters (', ", ;, --, /**/)
COMPENSATING CONTROLS:
1. Deploy WAF rules: block requests containing SQL keywords (UNION, SELECT, INSERT, DROP, etc.) in form parameters
2. Implement database-level access controls: restrict application database user to SELECT-only permissions where possible
3. Enable SQL query logging and anomaly detection
4. Implement rate limiting on enrollment form submissions
5. Use database activity monitoring (DAM) to detect suspicious queries
DETECTION RULES:
1. Monitor for: POST requests to /enrollment/admsnform.php with SQL keywords in parameters
2. Alert on: Multiple failed database queries from application user
3. Track: Unusual data exfiltration patterns or bulk SELECT operations
4. IDS/IPS signature: Look for UNION-based, time-based, and error-based SQL injection patterns
🔧 خطوات المعالجة (العربية)
الإجراءات الفورية:
1. تعطيل أو تقييد الوصول إلى نقطة النهاية /enrollment/admsnform.php حتى يتم إصلاحها
2. تطبيق قواعد جدار حماية تطبيقات الويب (WAF) لحجب أنماط حقن SQL في معاملات التسجيل
3. تفعيل التسجيل والمراقبة المفصلة لجميع الطلبات إلى نقطة النهاية الضعيفة
إرشادات التصحيح:
1. التواصل مع code-projects للحصول على توفر التصحيح الأمني والجدول الزمني
2. إذا لم يتوفر تصحيح، فكر في الهجرة إلى أنظمة إدارة القبول البديلة
3. تطبيق التحقق من صحة المدخلات: استخدام الاستعلامات المعاملة/البيانات المحضرة لجميع تفاعلات قاعدة البيانات
4. تطبيق تصفية مدخلات صارمة: قائمة بيضاء للأحرف المسموحة، رفض أحرف SQL الخاصة
الضوابط التعويضية:
1. نشر قواعد WAF: حجب الطلبات التي تحتوي على كلمات SQL الرئيسية في معاملات النموذج
2. تطبيق ضوابط الوصول على مستوى قاعدة البيانات: تقييد مستخدم قاعدة البيانات للتطبيق
3. تفعيل تسجيل استعلامات SQL والكشف عن الشذوذ
4. تطبيق تحديد معدل على طلبات نموذج التسجيل
5. استخدام مراقبة نشاط قاعدة البيانات (DAM)
قواعد الكشف:
1. مراقبة: طلبات POST إلى /enrollment/admsnform.php تحتوي على كلمات SQL
2. التنبيه على: استعلامات قاعدة بيانات متعددة فاشلة
3. تتبع: أنماط تسرب بيانات غير عادية
4. توقيع IDS/IPS: البحث عن أنماط حقن SQL المختلفة
📋 خريطة الامتثال التنظيمي
🟢 NCA ECC 2024
A.14.2.1 - Secure development policy and procedures
A.14.2.5 - Secure development environment
A.14.3.1 - Testing of security functionality
A.14.4.4 - Protection of information systems testing tools
🔵 SAMA CSF
ID.GV-1 - Organizational cybersecurity policy
PR.DS-6 - Data is protected from unauthorized access
DE.CM-1 - The network is monitored for unauthorized connections
RS.MI-2 - Incidents are mitigated
🟡 ISO 27001:2022
A.8.2.3 - Segregation of duties
A.14.2.1 - Information security requirements analysis and specification
A.14.2.5 - Secure development environment
A.14.3.1 - Security testing in development and acceptance
🟣 PCI DSS v4.0.1
Requirement 6.5.1 - Injection flaws prevention
Requirement 6.2 - Security patches and updates
🔗 المراجع والمصادر 5