📧 info@ciso.sa | 📱 +966550939344 | الرياض، المملكة العربية السعودية
عن المنصة الأسئلة الشائعة اتصل بنا شروط الخدمة سياسة الخصوصية 🌐 English
🔐

مرحباً — سجّل دخولك أو أنشئ حساباً للوصول الكامل.

🔑 دخول ✨ حساب جديد
🌐 EN تسجيل الدخول إنشاء حساب
🔧 صيانة مجدولة — السبت 2:00-4:00 صباحاً. قد تكون بعض الميزات غير متاحة مؤقتاً.    ●   
💎
خطة Pro بخصم 50% احصل على جميع ميزات AI والتقارير غير المحدودة والدعم ذي الأولوية. الترقية الآن
مركز البحث
ESC للإغلاق
تنقل فتح Ctrl+K بحث
CISO Consulting
Global general الإلكترونيات الاستهلاكية والبيع بالتجزئة MEDIUM 1h Global supply_chain تطوير البرمجيات والتكنولوجيا HIGH 1h Global general الذكاء الاصطناعي وتطوير البرمجيات LOW 2h Global general الذكاء الاصطناعي والأمن السيبراني MEDIUM 3h Global malware تطوير البرمجيات / التكنولوجيا HIGH 3h Global vulnerability تكنولوجيا المعلومات HIGH 4h Global data_breach قطاع المياه والبنية التحتية الحساسة HIGH 4h Global general خدمات الأمن السيبراني HIGH 4h Global data_breach الصيدلة والأدوية HIGH 5h Global vulnerability التكنولوجيا والذكاء الاصطناعي CRITICAL 6h Global general الإلكترونيات الاستهلاكية والبيع بالتجزئة MEDIUM 1h Global supply_chain تطوير البرمجيات والتكنولوجيا HIGH 1h Global general الذكاء الاصطناعي وتطوير البرمجيات LOW 2h Global general الذكاء الاصطناعي والأمن السيبراني MEDIUM 3h Global malware تطوير البرمجيات / التكنولوجيا HIGH 3h Global vulnerability تكنولوجيا المعلومات HIGH 4h Global data_breach قطاع المياه والبنية التحتية الحساسة HIGH 4h Global general خدمات الأمن السيبراني HIGH 4h Global data_breach الصيدلة والأدوية HIGH 5h Global vulnerability التكنولوجيا والذكاء الاصطناعي CRITICAL 6h Global general الإلكترونيات الاستهلاكية والبيع بالتجزئة MEDIUM 1h Global supply_chain تطوير البرمجيات والتكنولوجيا HIGH 1h Global general الذكاء الاصطناعي وتطوير البرمجيات LOW 2h Global general الذكاء الاصطناعي والأمن السيبراني MEDIUM 3h Global malware تطوير البرمجيات / التكنولوجيا HIGH 3h Global vulnerability تكنولوجيا المعلومات HIGH 4h Global data_breach قطاع المياه والبنية التحتية الحساسة HIGH 4h Global general خدمات الأمن السيبراني HIGH 4h Global data_breach الصيدلة والأدوية HIGH 5h Global vulnerability التكنولوجيا والذكاء الاصطناعي CRITICAL 6h
الثغرات

CVE-2026-8098

مرتفع
CWE-74 — نوع الضعف
نُشر: May 7, 2026  ·  آخر تحديث: May 14, 2026  ·  المصدر: NVD
CVSS v3
7.3
🔗 NVD الرسمي
📄 الوصف (الإنجليزية)

A security vulnerability has been detected in code-projects Feedback System 1.0. Impacted is an unknown function of the file /admin/checklogin.php. Such manipulation of the argument email leads to sql injection. It is possible to launch the attack remotely. The exploit has been disclosed publicly and may be used.

🤖 ملخص AI

CVE-2026-8098 is a critical SQL injection vulnerability in code-projects Feedback System 1.0 affecting the /admin/checklogin.php file through the email parameter. With a CVSS score of 7.3 and publicly disclosed exploit details, this vulnerability poses an immediate threat to organizations using this system. No patch is currently available, requiring immediate compensating controls and system isolation.

📄 الوصف (العربية)

🤖 التحليل الذكي آخر تحليل: May 12, 2026 17:17
🇸🇦 التأثير على المملكة العربية السعودية
This vulnerability primarily impacts Saudi government agencies, educational institutions, and private sector organizations using code-projects Feedback System for administrative purposes. Government entities under NCA oversight, educational institutions under MOEDU, and any organization with customer feedback systems are at risk. The SQL injection in the admin login function could lead to unauthorized access to administrative panels, data exfiltration, and potential lateral movement within organizational networks. Banking and financial institutions using this system for customer feedback face elevated risk of data breach affecting customer information.
🏢 القطاعات السعودية المتأثرة
Government Education Banking and Financial Services Healthcare Telecommunications Energy Retail and E-commerce
⚖️ درجة المخاطر السعودية (AI)
8.2
/ 10.0
🔧 Remediation Steps (English)
IMMEDIATE ACTIONS:

1. Identify all instances of code-projects Feedback System 1.0 in your environment and document their network locations

2. Immediately isolate affected systems from production networks or restrict access to /admin/checklogin.php via WAF/firewall rules

3. Implement input validation and parameterized queries as compensating controls

4. Enable comprehensive logging on all database access attempts



COMPENSATING CONTROLS:

1. Deploy Web Application Firewall (WAF) rules to block SQL injection patterns in email parameter: block requests containing SQL keywords (UNION, SELECT, DROP, INSERT, etc.) in email field

2. Implement rate limiting on /admin/checklogin.php to prevent brute force exploitation

3. Apply strict input validation: email parameter must match RFC 5322 email format only

4. Use prepared statements/parameterized queries in the application code

5. Enforce principle of least privilege for database accounts used by the application



DETECTION RULES:

1. Monitor for SQL injection patterns in email parameter: ' OR '1'='1, UNION SELECT, xp_cmdshell

2. Alert on multiple failed login attempts followed by unusual database queries

3. Track database error messages in application logs indicating SQL syntax errors

4. Monitor for unexpected database connections or privilege escalations



PATCHING STRATEGY:

1. Contact code-projects for security patch availability and timeline

2. Evaluate alternative feedback systems with active security support

3. If system is business-critical, consider code review and custom patching by qualified security developers

4. Plan migration to patched version immediately upon availability
🔧 خطوات المعالجة (العربية)
الإجراءات الفورية:

1. حدد جميع حالات code-projects Feedback System 1.0 في بيئتك وقم بتوثيق مواقعها على الشبكة

2. قم بعزل الأنظمة المتأثرة فورًا عن شبكات الإنتاج أو قيد الوصول إلى /admin/checklogin.php عبر قواعد WAF/جدار الحماية

3. تطبيق التحقق من صحة المدخلات والاستعلامات المعاملة كضوابط تعويضية

4. تفعيل السجلات الشاملة على جميع محاولات الوصول إلى قاعدة البيانات



الضوابط التعويضية:

1. نشر قواعد جدار تطبيقات الويب (WAF) لحظر أنماط حقن SQL في معامل البريد الإلكتروني: حظر الطلبات التي تحتوي على كلمات SQL (UNION, SELECT, DROP, INSERT, إلخ)

2. تطبيق تحديد معدل على /admin/checklogin.php لمنع استغلال القوة الغاشمة

3. تطبيق التحقق الصارم من المدخلات: يجب أن يطابق معامل البريد الإلكتروني صيغة البريد الإلكتروني RFC 5322 فقط

4. استخدام الاستعلامات المعدة/الاستعلامات المعاملة في كود التطبيق

5. فرض مبدأ أقل امتياز لحسابات قاعدة البيانات المستخدمة من قبل التطبيق



قواعد الكشف:

1. مراقبة أنماط حقن SQL في معامل البريد الإلكتروني

2. تنبيه على محاولات تسجيل دخول متعددة فاشلة متبوعة باستعلامات قاعدة بيانات غير عادية

3. تتبع رسائل خطأ قاعدة البيانات في سجلات التطبيق

4. مراقبة اتصالات قاعدة البيانات غير المتوقعة أو تصعيد الامتيازات



استراتيجية التصحيح:

1. اتصل بـ code-projects للحصول على توفر التصحيح الأمني والجدول الزمني

2. قيّم أنظمة التغذية الراجعة البديلة مع دعم أمان نشط

3. إذا كان النظام حرجًا للعمل، فكر في مراجعة الكود والتصحيح المخصص من قبل مطوري أمان مؤهلين

4. خطط للهجرة إلى الإصدار المصحح فورًا عند توفره
📋 خريطة الامتثال التنظيمي
🟢 NCA ECC 2024
ECC 2024 A.14.2.1 - Secure development policy and procedures ECC 2024 A.14.2.5 - Secure development environment ECC 2024 A.14.3.1 - Testing of security functionality ECC 2024 A.13.1.3 - Segregation of networks ECC 2024 A.12.6.1 - Management of technical vulnerabilities
🔵 SAMA CSF
SAMA CSF ID.BE-1 - Asset Management SAMA CSF PR.AC-1 - Access Control Policy SAMA CSF PR.DS-6 - Data Security SAMA CSF DE.CM-1 - Detection and Analysis SAMA CSF RS.MI-1 - Incident Response Mitigation
🟡 ISO 27001:2022
ISO 27001:2022 A.8.1.1 - Inventory of information and other assets ISO 27001:2022 A.8.3.1 - Segregation of networks ISO 27001:2022 A.14.2.1 - Secure development policy ISO 27001:2022 A.14.2.5 - Secure development environment ISO 27001:2022 A.12.6.1 - Management of technical vulnerabilities
🟣 PCI DSS v4.0.1
PCI DSS 6.2 - Security patches and updates PCI DSS 6.5.1 - Injection flaws prevention PCI DSS 11.2 - Vulnerability scanning
📊 CVSS Score
7.3
/ 10.0 — مرتفع
📊 CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:L/A:L
Attack VectorN — None / Network
Attack ComplexityL — Low / Local
Privileges RequiredN — None / Network
User InteractionN — None / Network
ScopeU — Unchanged
ConfidentialityL — Low / Local
IntegrityL — Low / Local
AvailabilityL — Low / Local
📋 حقائق سريعة
الخطورة مرتفع
CVSS Score7.3
CWECWE-74
EPSS0.03%
اختراق متاح لا
تصحيح متاح ✗ لا
تاريخ النشر 2026-05-07
المصدر nvd
المشاهدات 1
🇸🇦 درجة المخاطر السعودية
8.2
/ 10.0 — مخاطر السعودية
أولوية: CRITICAL
🏷️ الوسوم
CWE-74
⚡ إجراءات
🔗 NVD Official Page ⚡ Exploit-DB Search 🐙 GitHub PoC Search 🎯 MITRE ATT&CK 📊 CVE Details
مشاركة ثغرة
LinkedIn X / Twitter WhatsApp Telegram
📣 وجدت هذا مفيداً؟
شاركه مع شبكة الأمن السيبراني الخاصة بك
in لينكدإن 𝕏 تويتر 💬 واتساب ✈ تليجرام
🍪 إعدادات الخصوصية
سيزو للاستشارات — متوافق مع نظام حماية البيانات الشخصية السعودي (PDPL)
نستخدم ملفات تعريف الارتباط والتقنيات المشابهة لتوفير أفضل تجربة على منصتنا. يمكنك اختيار الأنواع التي تقبلها.
🔒
ملفات ضرورية Always On
مطلوبة لعمل الموقع بشكل صحيح. لا يمكن تعطيلها.
📋 الجلسات، CSRF، المصادقة، تفضيلات اللغة
📊
ملفات التحليلات
تساعدنا في فهم كيفية استخدام الزوار للموقع وتحسين الأداء.
📋 إحصائيات الصفحات، مدة الجلسة، مصدر الزيارة
⚙️
ملفات وظيفية
تتيح ميزات محسنة مثل تخصيص المحتوى والتفضيلات.
📋 السمة المظلمة/الفاتحة، حجم الخط، لوحات التحكم المخصصة
📣
ملفات تسويقية
تُستخدم لتقديم محتوى وإعلانات ذات صلة باهتماماتك.
📋 تتبع الحملات، إعادة الاستهداف، تحليلات وسائل التواصل
سياسة الخصوصية →
مساعد CISO الذكي
اسألني أي شيء · وثائق · دعم
🔐

عرّفنا بنفسك

أدخل بياناتك للوصول إلى المساعد الكامل

معلوماتك آمنة ولن تُشارك
💬
المساعد السيبراني
متصل — يرد في ثوانٍ
5 / 5
🔐 تحقق من هويتك

أدخل بريدك الإلكتروني لإرسال رمز تحقق قبل إرسال طلب الدعم.

Enter للإرسال · / للأوامر 0 / 2000
CISO AI · مدعوم بالذكاء الاصطناعي
✦ استطلاع سريع ساعدنا في تحسين منصة سيزو للاستشارات ملاحظاتك تشكّل مستقبل منصتنا — لا تستغرق سوى دقيقتين.
⚠ يرجى الإجابة على هذا السؤال للمتابعة

كيف تقيّم تجربتك العامة مع منصتنا؟

قيّم من 1 (ضعيف) إلى 5 (ممتاز)

🎉
شكراً جزيلاً!
تم تسجيل إجابتك بنجاح.