📧 info@ciso.sa | 📱 +966550939344 | الرياض، المملكة العربية السعودية
عن المنصة الأسئلة الشائعة اتصل بنا شروط الخدمة سياسة الخصوصية 🌐 English
🔐

مرحباً — سجّل دخولك أو أنشئ حساباً للوصول الكامل.

🔑 دخول ✨ حساب جديد
🌐 EN تسجيل الدخول إنشاء حساب
🔧 صيانة مجدولة — السبت 2:00-4:00 صباحاً. قد تكون بعض الميزات غير متاحة مؤقتاً.    ●   
💎
خطة Pro بخصم 50% احصل على جميع ميزات AI والتقارير غير المحدودة والدعم ذي الأولوية. الترقية الآن
مركز البحث
ESC للإغلاق
تنقل فتح Ctrl+K بحث
CISO Consulting
Global vulnerability تكنولوجيا المعلومات CRITICAL 52m Global supply_chain تطوير البرمجيات والتكنولوجيا HIGH 1h Global vulnerability تكنولوجيا المعلومات والاتصالات CRITICAL 1h Global apt الخدمات المالية والمصرفية HIGH 7h Global vulnerability قطاع التكنولوجيا وتطوير البرمجيات HIGH 10h Global vulnerability الحكومة والوكالات الفيدرالية CRITICAL 10h Global supply_chain تطوير البرمجيات والنظم البيئية مفتوحة المصدر HIGH 11h Global vulnerability برامج المؤسسات/البرامج كخدمة MEDIUM 11h Global supply_chain تطوير البرمجيات HIGH 12h Global general التأمين/إدارة المخاطر HIGH 12h Global vulnerability تكنولوجيا المعلومات CRITICAL 52m Global supply_chain تطوير البرمجيات والتكنولوجيا HIGH 1h Global vulnerability تكنولوجيا المعلومات والاتصالات CRITICAL 1h Global apt الخدمات المالية والمصرفية HIGH 7h Global vulnerability قطاع التكنولوجيا وتطوير البرمجيات HIGH 10h Global vulnerability الحكومة والوكالات الفيدرالية CRITICAL 10h Global supply_chain تطوير البرمجيات والنظم البيئية مفتوحة المصدر HIGH 11h Global vulnerability برامج المؤسسات/البرامج كخدمة MEDIUM 11h Global supply_chain تطوير البرمجيات HIGH 12h Global general التأمين/إدارة المخاطر HIGH 12h Global vulnerability تكنولوجيا المعلومات CRITICAL 52m Global supply_chain تطوير البرمجيات والتكنولوجيا HIGH 1h Global vulnerability تكنولوجيا المعلومات والاتصالات CRITICAL 1h Global apt الخدمات المالية والمصرفية HIGH 7h Global vulnerability قطاع التكنولوجيا وتطوير البرمجيات HIGH 10h Global vulnerability الحكومة والوكالات الفيدرالية CRITICAL 10h Global supply_chain تطوير البرمجيات والنظم البيئية مفتوحة المصدر HIGH 11h Global vulnerability برامج المؤسسات/البرامج كخدمة MEDIUM 11h Global supply_chain تطوير البرمجيات HIGH 12h Global general التأمين/إدارة المخاطر HIGH 12h
الثغرات

CVE-2026-9603

متوسط
CWE-862 — نوع الضعف
نُشر: May 26, 2026  ·  آخر تحديث: May 29, 2026  ·  المصدر: NVD
CVSS v3
6.5
🔗 NVD الرسمي
📄 الوصف (الإنجليزية)

A security vulnerability has been detected in SourceCodester eDoc Doctor Appointment System 1.0. This affects an unknown part of the file /admin/delete-session.php. The manipulation of the argument ID leads to missing authorization. Remote exploitation of the attack is possible. The exploit has been disclosed publicly and may be used.

🤖 ملخص AI

CVE-2026-9603 is a missing authorization vulnerability in SourceCodester eDoc Doctor Appointment System 1.0 affecting the /admin/delete-session.php endpoint. An attacker can manipulate the ID parameter to bypass authorization controls and perform unauthorized session deletion. With a CVSS score of 6.5 and public exploit disclosure, this poses a moderate risk to healthcare organizations using this system.

📄 الوصف (العربية)

🤖 التحليل الذكي آخر تحليل: May 27, 2026 04:48
🇸🇦 التأثير على المملكة العربية السعودية
This vulnerability primarily impacts Saudi healthcare organizations and private clinics using SourceCodester eDoc Doctor Appointment System. At-risk sectors include: Healthcare (private hospitals, clinics, diagnostic centers), Government Health Services (MOH facilities), and Telehealth providers. The missing authorization on session deletion could allow unauthorized users to terminate admin sessions, potentially leading to account takeover, unauthorized access to patient records (PHI), and disruption of appointment scheduling. Organizations under SAMA oversight providing healthcare fintech services are also at risk.
🏢 القطاعات السعودية المتأثرة
Healthcare Government Health Services Telehealth and Digital Health Providers Private Clinics and Diagnostic Centers Healthcare Fintech (SAMA-regulated)
⚖️ درجة المخاطر السعودية (AI)
6.8
/ 10.0
🔧 Remediation Steps (English)
Immediate Actions:

1. Audit all instances of SourceCodester eDoc Doctor Appointment System 1.0 in your environment

2. Review access logs for /admin/delete-session.php for suspicious ID parameter manipulation

3. Check for unauthorized session deletions in the past 30 days

4. Implement network-level access controls restricting /admin/delete-session.php to authorized admin IPs only



Patching Guidance:

5. Contact SourceCodester for security patches or upgrade to a newer version if available

6. If no patch is available, consider migrating to alternative appointment management systems with proper authorization controls



Compensating Controls:

7. Implement Web Application Firewall (WAF) rules to validate ID parameter format and block suspicious requests

8. Add request logging and alerting for all /admin/delete-session.php calls

9. Implement role-based access control (RBAC) at the application level to verify user authorization before processing session deletion

10. Enable multi-factor authentication (MFA) for all admin accounts

11. Conduct code review of delete-session.php to ensure proper authorization checks are in place



Detection Rules:

- Alert on /admin/delete-session.php requests with non-numeric or out-of-range ID parameters

- Monitor for multiple failed session deletion attempts from single IP

- Track unusual patterns of session deletions outside normal business hours
🔧 خطوات المعالجة (العربية)
الإجراءات الفورية:

1. تدقيق جميع حالات نظام SourceCodester eDoc Doctor Appointment System 1.0 في بيئتك

2. مراجعة سجلات الوصول لـ /admin/delete-session.php للتلاعب المريب بمعامل ID

3. التحقق من حذف الجلسات غير المصرح به في آخر 30 يوماً

4. تطبيق عناصر التحكم في الوصول على مستوى الشبكة لتقييد /admin/delete-session.php لعناوين IP الإدارية المصرح بها فقط



إرشادات التصحيح:

5. اتصل بـ SourceCodester للحصول على تصحيحات أمان أو الترقية إلى إصدار أحدث إن أمكن

6. إذا لم يكن هناك تصحيح متاح، فكر في الهجرة إلى أنظمة إدارة المواعيد البديلة مع عناصر تحكم التفويض المناسبة



عناصر التحكم البديلة:

7. تطبيق قواعد جدار حماية تطبيقات الويب (WAF) للتحقق من صيغة معامل ID وحظر الطلبات المريبة

8. إضافة تسجيل التنبيهات لجميع استدعاءات /admin/delete-session.php

9. تطبيق التحكم في الوصول القائم على الأدوار (RBAC) على مستوى التطبيق للتحقق من تفويض المستخدم قبل معالجة حذف الجلسة

10. تفعيل المصادقة متعددة العوامل (MFA) لجميع حسابات الإدارة

11. إجراء مراجعة الكود لـ delete-session.php للتأكد من وجود فحوصات التفويض المناسبة



قواعد الكشف:

- تنبيه على طلبات /admin/delete-session.php بمعاملات ID غير رقمية أو خارج النطاق

- مراقبة محاولات حذف جلسات متعددة فاشلة من عنوان IP واحد

- تتبع الأنماط غير العادية لحذف الجلسات خارج ساعات العمل العادية
📋 خريطة الامتثال التنظيمي
🟢 NCA ECC 2024
A.5.1.1 - Information Security Policies and Procedures A.6.1.1 - Access Control Policy A.6.2.1 - User Registration and De-registration A.6.2.2 - User Access Rights A.9.2.1 - User Identification and Authentication A.9.2.5 - Access Rights Review A.10.1.1 - Information Security Incident Procedures
🔵 SAMA CSF
Governance & Risk Management - Authorization and Access Control Information Security - Access Control and Authentication Operational Resilience - Incident Detection and Response
🟡 ISO 27001:2022
5.15 - Access Control 5.16 - Identification and Authentication 5.17 - Access Rights 5.18 - Information Security in Supplier Relationships 8.2 - Confidentiality 8.3 - Integrity
🟣 PCI DSS v4.0.1
Requirement 2 - Default Security Parameters Requirement 6 - Secure Development and Vulnerability Management Requirement 7 - Restrict Access to Cardholder Data Requirement 8 - Identify and Authenticate Access
📊 CVSS Score
6.5
/ 10.0 — متوسط
📊 CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:L/A:L
Attack VectorN — None / Network
Attack ComplexityL — Low / Local
Privileges RequiredN — None / Network
User InteractionN — None / Network
ScopeU — Unchanged
ConfidentialityN — None / Network
IntegrityL — Low / Local
AvailabilityL — Low / Local
📋 حقائق سريعة
الخطورة متوسط
CVSS Score6.5
CWECWE-862
EPSS0.06%
اختراق متاح لا
تصحيح متاح ✗ لا
تاريخ النشر 2026-05-26
المصدر nvd
المشاهدات 1
🇸🇦 درجة المخاطر السعودية
6.8
/ 10.0 — مخاطر السعودية
أولوية: HIGH
🏷️ الوسوم
CWE-862
⚡ إجراءات
🔗 NVD Official Page ⚡ Exploit-DB Search 🐙 GitHub PoC Search 🎯 MITRE ATT&CK 📊 CVE Details
مشاركة ثغرة
LinkedIn X / Twitter WhatsApp Telegram
📣 وجدت هذا مفيداً؟
شاركه مع شبكة الأمن السيبراني الخاصة بك
in لينكدإن 𝕏 تويتر 💬 واتساب ✈ تليجرام
🍪 إعدادات الخصوصية
سيزو للاستشارات — متوافق مع نظام حماية البيانات الشخصية السعودي (PDPL)
نستخدم ملفات تعريف الارتباط والتقنيات المشابهة لتوفير أفضل تجربة على منصتنا. يمكنك اختيار الأنواع التي تقبلها.
🔒
ملفات ضرورية Always On
مطلوبة لعمل الموقع بشكل صحيح. لا يمكن تعطيلها.
📋 الجلسات، CSRF، المصادقة، تفضيلات اللغة
📊
ملفات التحليلات
تساعدنا في فهم كيفية استخدام الزوار للموقع وتحسين الأداء.
📋 إحصائيات الصفحات، مدة الجلسة، مصدر الزيارة
⚙️
ملفات وظيفية
تتيح ميزات محسنة مثل تخصيص المحتوى والتفضيلات.
📋 السمة المظلمة/الفاتحة، حجم الخط، لوحات التحكم المخصصة
📣
ملفات تسويقية
تُستخدم لتقديم محتوى وإعلانات ذات صلة باهتماماتك.
📋 تتبع الحملات، إعادة الاستهداف، تحليلات وسائل التواصل
سياسة الخصوصية →
مساعد CISO الذكي
اسألني أي شيء · وثائق · دعم
🔐

عرّفنا بنفسك

أدخل بياناتك للوصول إلى المساعد الكامل

معلوماتك آمنة ولن تُشارك
💬
المساعد السيبراني
متصل — يرد في ثوانٍ
5 / 5
🔐 تحقق من هويتك

أدخل بريدك الإلكتروني لإرسال رمز تحقق قبل إرسال طلب الدعم.

Enter للإرسال · / للأوامر 0 / 2000
CISO AI · مدعوم بالذكاء الاصطناعي
✦ استطلاع سريع ساعدنا في تحسين منصة سيزو للاستشارات ملاحظاتك تشكّل مستقبل منصتنا — لا تستغرق سوى دقيقتين.
⚠ يرجى الإجابة على هذا السؤال للمتابعة

كيف تقيّم تجربتك العامة مع منصتنا؟

قيّم من 1 (ضعيف) إلى 5 (ممتاز)

🎉
شكراً جزيلاً!
تم تسجيل إجابتك بنجاح.