📧 info@ciso.sa | 📱 +966550939344 | الرياض، المملكة العربية السعودية
عن المنصة الأسئلة الشائعة اتصل بنا شروط الخدمة سياسة الخصوصية 🌐 English
🔐

مرحباً — سجّل دخولك أو أنشئ حساباً للوصول الكامل.

🔑 دخول ✨ حساب جديد
🌐 EN تسجيل الدخول إنشاء حساب
🔧 صيانة مجدولة — السبت 2:00-4:00 صباحاً. قد تكون بعض الميزات غير متاحة مؤقتاً.    ●   
💎
خطة Pro بخصم 50% احصل على جميع ميزات AI والتقارير غير المحدودة والدعم ذي الأولوية. الترقية الآن
مركز البحث
ESC للإغلاق
تنقل فتح Ctrl+K بحث
CISO Consulting
Global vulnerability التعليم العالي CRITICAL 3h Global data_breach القطاع الحكومي HIGH 4h Global supply_chain تطوير البرمجيات والمجتمعات مفتوحة المصدر CRITICAL 4h Global malware تطوير البرمجيات CRITICAL 5h Global phishing قطاعات متعددة HIGH 5h Global vulnerability تطبيقات الويب CRITICAL 6h Global apt البنية التحتية الحرجة CRITICAL 6h Global ransomware قطاعات متعددة CRITICAL 6h Global supply_chain تطوير البرمجيات، البنية التحتية لتكنولوجيا المعلومات، التكنولوجيا CRITICAL 7h Global vulnerability,data_breach,general التكنولوجيا، أنظمة التحكم الصناعي، الاتصالات HIGH 8h Global vulnerability التعليم العالي CRITICAL 3h Global data_breach القطاع الحكومي HIGH 4h Global supply_chain تطوير البرمجيات والمجتمعات مفتوحة المصدر CRITICAL 4h Global malware تطوير البرمجيات CRITICAL 5h Global phishing قطاعات متعددة HIGH 5h Global vulnerability تطبيقات الويب CRITICAL 6h Global apt البنية التحتية الحرجة CRITICAL 6h Global ransomware قطاعات متعددة CRITICAL 6h Global supply_chain تطوير البرمجيات، البنية التحتية لتكنولوجيا المعلومات، التكنولوجيا CRITICAL 7h Global vulnerability,data_breach,general التكنولوجيا، أنظمة التحكم الصناعي، الاتصالات HIGH 8h Global vulnerability التعليم العالي CRITICAL 3h Global data_breach القطاع الحكومي HIGH 4h Global supply_chain تطوير البرمجيات والمجتمعات مفتوحة المصدر CRITICAL 4h Global malware تطوير البرمجيات CRITICAL 5h Global phishing قطاعات متعددة HIGH 5h Global vulnerability تطبيقات الويب CRITICAL 6h Global apt البنية التحتية الحرجة CRITICAL 6h Global ransomware قطاعات متعددة CRITICAL 6h Global supply_chain تطوير البرمجيات، البنية التحتية لتكنولوجيا المعلومات، التكنولوجيا CRITICAL 7h Global vulnerability,data_breach,general التكنولوجيا، أنظمة التحكم الصناعي، الاتصالات HIGH 8h
الثغرات

CVE-2026-7049

مرتفع
CWE-918 — نوع الضعف
نُشر: May 2, 2026  ·  آخر تحديث: May 8, 2026  ·  المصدر: NVD
CVSS v3
7.2
🔗 NVD الرسمي
📄 الوصف (الإنجليزية)

The PixelYourSite Pro – Your smart PIXEL (TAG) Manager plugin for WordPress is vulnerable to Server-Side Request Forgery in all versions up to, and including, 12.5.0.1 via the scan_video. This makes it possible for unauthenticated attackers to make web requests to arbitrary locations originating from the web application and can be used to query and modify information from internal services. The SSRF is blind because fetched response bodies are only parsed internally for YouTube/Vimeo patterns and are never returned to the attacker.

🤖 ملخص AI

CVE-2026-7049 is a Server-Side Request Forgery (SSRF) vulnerability in PixelYourSite Pro WordPress plugin affecting versions up to 12.5.0.1. Unauthenticated attackers can exploit the scan_video function to make arbitrary web requests from the vulnerable server, potentially accessing internal services and sensitive data. Although the SSRF is blind (responses not returned), it enables reconnaissance and manipulation of internal systems, posing significant risk to organizations using this plugin for pixel tracking and analytics.

📄 الوصف (العربية)

🤖 التحليل الذكي آخر تحليل: May 8, 2026 10:19
🇸🇦 التأثير على المملكة العربية السعودية
Saudi organizations using PixelYourSite Pro for digital marketing and analytics are at risk, particularly: (1) E-commerce and retail sectors relying on pixel tracking for conversion monitoring; (2) Banking and financial services using the plugin for customer analytics; (3) Government digital transformation initiatives utilizing WordPress-based platforms; (4) Telecommunications companies (STC, Mobily) tracking customer engagement; (5) Healthcare providers collecting analytics on patient portals. The blind SSRF enables attackers to probe internal network infrastructure, access internal APIs, and potentially reach SAMA-regulated systems or NCA-monitored networks without detection.
🏢 القطاعات السعودية المتأثرة
E-commerce and Retail Banking and Financial Services Government and Public Sector Telecommunications Healthcare Digital Marketing Agencies Media and Publishing
⚖️ درجة المخاطر السعودية (AI)
7.8
/ 10.0
🔧 Remediation Steps (English)
IMMEDIATE ACTIONS:

1. Disable or remove PixelYourSite Pro plugin immediately if not critical to operations

2. If removal not possible, restrict plugin access via Web Application Firewall (WAF) rules blocking scan_video endpoint

3. Implement network segmentation to isolate WordPress servers from sensitive internal services

4. Monitor outbound connections from WordPress servers for suspicious destinations



PATCHING GUIDANCE:

1. Contact PixelYourSite Pro developers for security patch availability

2. Implement input validation and URL filtering at application level

3. Disable scan_video functionality if available in plugin settings

4. Consider alternative pixel tracking solutions without SSRF vulnerabilities



COMPENSATING CONTROLS:

1. Deploy WAF rules to block requests to internal IP ranges (10.0.0.0/8, 172.16.0.0/12, 192.168.0.0/16, 127.0.0.1)

2. Implement egress filtering to prevent outbound connections to internal services

3. Use reverse proxy to restrict WordPress outbound requests

4. Enable detailed logging of all outbound HTTP/HTTPS requests from WordPress



DETECTION RULES:

1. Monitor for POST requests to /wp-admin/admin-ajax.php with action=scan_video parameter

2. Alert on outbound connections from WordPress to internal IP addresses or localhost

3. Track failed connection attempts to common internal service ports (3306, 5432, 6379, 9200)

4. Log and analyze DNS queries from WordPress servers for internal hostnames
🔧 خطوات المعالجة (العربية)
الإجراءات الفورية:

1. تعطيل أو إزالة مكون PixelYourSite Pro فوراً إذا لم يكن حرجاً للعمليات

2. إذا كان الحذف غير ممكن، قيّد وصول المكون عبر قواعد جدار الحماية (WAF) لحجب نقطة نهاية scan_video

3. طبّق تقسيم الشبكة لعزل خوادم WordPress عن الخدمات الداخلية الحساسة

4. راقب الاتصالات الصادرة من خوادم WordPress للوجهات المريبة



إرشادات التصحيح:

1. اتصل بمطوري PixelYourSite Pro للحصول على تصحيح أمني

2. طبّق التحقق من صحة المدخلات وتصفية عناوين URL على مستوى التطبيق

3. عطّل وظيفة scan_video إذا كانت متاحة في إعدادات المكون

4. فكّر في حلول تتبع بكسل بديلة بدون ثغرات SSRF



الضوابط التعويضية:

1. نشّر قواعد WAF لحجب الطلبات إلى نطاقات IP الداخلية

2. طبّق تصفية الخروج لمنع الاتصالات الصادرة إلى الخدمات الداخلية

3. استخدم وكيل عكسي لتقييد طلبات WordPress الصادرة

4. فعّل تسجيل مفصل لجميع طلبات HTTP/HTTPS الصادرة من WordPress



قواعد الكشف:

1. راقب طلبات POST إلى /wp-admin/admin-ajax.php مع معامل action=scan_video

2. أصدر تنبيهات للاتصالات الصادرة من WordPress إلى عناوين IP داخلية أو localhost

3. تتبع محاولات الاتصال الفاشلة إلى منافذ الخدمات الداخلية الشائعة

4. سجّل وحلّل استعلامات DNS من خوادم WordPress للأسماء المضيفة الداخلية
📋 خريطة الامتثال التنظيمي
🟢 NCA ECC 2024
ECC 2024 A.14.2.1 - Information security requirements for supplier relationships ECC 2024 A.12.6.1 - Management of technical vulnerabilities ECC 2024 A.13.1.3 - Segregation of networks
🔵 SAMA CSF
SAMA CSF ID.BE-3.2 - Third-party risk management SAMA CSF PR.DS-6 - Data is protected from unauthorized access SAMA CSF DE.CM-1 - The network is monitored to detect potential cybersecurity events
🟡 ISO 27001:2022
ISO 27001:2022 A.5.23 - Information security for supplier relationships ISO 27001:2022 A.8.1 - Cryptography and network security ISO 27001:2022 A.13.1.3 - Segregation of networks ISO 27001:2022 A.14.2.1 - Supplier security assessment
🟣 PCI DSS v4.0.1
PCI DSS 6.2 - Security patches must be installed within defined timeframe PCI DSS 6.5.10 - Broken authentication and session management PCI DSS 11.3 - Penetration testing and vulnerability scanning
📊 CVSS Score
7.2
/ 10.0 — مرتفع
📊 CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:L/I:L/A:N
Attack VectorN — None / Network
Attack ComplexityL — Low / Local
Privileges RequiredN — None / Network
User InteractionN — None / Network
ScopeC — Changed
ConfidentialityL — Low / Local
IntegrityL — Low / Local
AvailabilityN — None / Network
📋 حقائق سريعة
الخطورة مرتفع
CVSS Score7.2
CWECWE-918
EPSS0.03%
اختراق متاح لا
تصحيح متاح ✗ لا
تاريخ النشر 2026-05-02
المصدر nvd
المشاهدات 1
🇸🇦 درجة المخاطر السعودية
7.8
/ 10.0 — مخاطر السعودية
أولوية: HIGH
🏷️ الوسوم
CWE-918
⚡ إجراءات
🔗 NVD Official Page ⚡ Exploit-DB Search 🐙 GitHub PoC Search 🎯 MITRE ATT&CK 📊 CVE Details
مشاركة ثغرة
LinkedIn X / Twitter WhatsApp Telegram

💬 التعليقات

0
جارٍ التحميل
📣 وجدت هذا مفيداً؟
شاركه مع شبكة الأمن السيبراني الخاصة بك
in لينكدإن 𝕏 تويتر 💬 واتساب ✈ تليجرام
🍪 إعدادات الخصوصية
سيزو للاستشارات — متوافق مع نظام حماية البيانات الشخصية السعودي (PDPL)
نستخدم ملفات تعريف الارتباط والتقنيات المشابهة لتوفير أفضل تجربة على منصتنا. يمكنك اختيار الأنواع التي تقبلها.
🔒
ملفات ضرورية Always On
مطلوبة لعمل الموقع بشكل صحيح. لا يمكن تعطيلها.
📋 الجلسات، CSRF، المصادقة، تفضيلات اللغة
📊
ملفات التحليلات
تساعدنا في فهم كيفية استخدام الزوار للموقع وتحسين الأداء.
📋 إحصائيات الصفحات، مدة الجلسة، مصدر الزيارة
⚙️
ملفات وظيفية
تتيح ميزات محسنة مثل تخصيص المحتوى والتفضيلات.
📋 السمة المظلمة/الفاتحة، حجم الخط، لوحات التحكم المخصصة
📣
ملفات تسويقية
تُستخدم لتقديم محتوى وإعلانات ذات صلة باهتماماتك.
📋 تتبع الحملات، إعادة الاستهداف، تحليلات وسائل التواصل
سياسة الخصوصية →
مساعد CISO الذكي
اسألني أي شيء · وثائق · دعم
🔐

عرّفنا بنفسك

أدخل بياناتك للوصول إلى المساعد الكامل

معلوماتك آمنة ولن تُشارك
💬
المساعد السيبراني
متصل — يرد في ثوانٍ
5 / 5
🔐 تحقق من هويتك

أدخل بريدك الإلكتروني لإرسال رمز تحقق قبل إرسال طلب الدعم.

Enter للإرسال · / للأوامر 0 / 2000
CISO AI · مدعوم بالذكاء الاصطناعي
✦ استطلاع سريع ساعدنا في تحسين منصة سيزو للاستشارات ملاحظاتك تشكّل مستقبل منصتنا — لا تستغرق سوى دقيقتين.
⚠ يرجى الإجابة على هذا السؤال للمتابعة

كيف تقيّم تجربتك العامة مع منصتنا؟

قيّم من 1 (ضعيف) إلى 5 (ممتاز)

🎉
شكراً جزيلاً!
تم تسجيل إجابتك بنجاح.