تخطى إلى المحتوى الرئيسي

CISA تُحذر: 4 ثغرات خطيرة في Adobe وJoomla وLangflow تستغل بنشاط

فريق جلتش
منذ ساعة0 مشاهدة5 دقائق
CISA تُحذر: 4 ثغرات خطيرة في Adobe وJoomla وLangflow تستغل بنشاط

أضافت CISA أربع ثغرات خطيرة تستغل بنشاط في Adobe وJoomla وLangflow إلى قائمة KEV، مع توصية بتصحيحها فوراً. تتضمن الثغرات RCE وسرقة مفاتيح LLM وAWS، مما يهدد البنية التحتية الحيوية ومنصات الذكاء الاصطناعي.

بتاريخ 7 يوليو 2026، أضافت وكالة الأمن السيبراني وأمن البنية التحتية الأمريكية (CISA) أربع ثغرات أمنية تستغل بنشاط إلى قائمة الثغرات المعروفة المستغلة (KEV)، مؤكدة وجود أدلة قاطعة على استغلالها الفوري. ثلاث من هذه الثغرات تحمل تصنيف CVSS 10.0، مما يشير إلى خطورتها القصوى، وتستهدف منتجات Adobe وJoomla وLangflow التي تنتشر على نطاق واسع في الأنظمة الحكومية والخاصة. هذا التحديث يضع عبئًا إلزاميًا على الوكالات الفيدرالية لتطبيق التصحيحات بحلول 10 يوليو 2026.

مقدمة تحليلية

في 7 يوليو 2026، أدرجت CISA أربع ثغرات أمنية حاسمة ضمن قائمة KEV، لتشمل CVE-2026-48282 في Adobe ColdFusion، وCVE-2026-56290 وCVE-2026-48908 في مكونات Joomla، بالإضافة إلى CVE-2026-55255 في Langflow. هذه الثغرات ليست مجرد نقاط ضعف نظرية؛ لقد تم استغلالها بالفعل في هجمات فعلية، مما يستوجب إجراءات تصحيح عاجلة تتجاوز التوصيات التقليدية لتصبح تفويضاً صارماً.

التحليل التقني

التهديد يكمن في تفاصيل الاستغلال النشط لهذه الثغرات، والتي تعرض الأنظمة لسيطرة كاملة من قبل المهاجمين:

  • CVE-2026-48282 (Adobe ColdFusion): هذه الثغرة هي

    ثغرة مسار تجاوز (path traversal) (مسار يتجاوز الضوابط للوصول إلى ملفات خارج الدليل المسموح به)، وتسمح بتنفيذ تعليمات برمجية عن بعد (RCE) بالكامل. تم رصد استغلالها في غضون ساعات من الكشف العام عنها. قام باحث الأمن ريان ديوهورست من KEVIntel بتوثيق محاولة استغلال من عنوان IP يقع في الهند (103.207.14.220)، مما يؤكد سرعة انتشار الهجمات ووصولها للعموم.

  • CVE-2026-56290 (Joomlack Page Builder): يتعلق هذا الضعف بـ

    تحكم غير سليم في الوصول (improper access control)، والذي يتيح رفع ملفات عشوائية دون الحاجة لمصادقة المستخدم. هذا يؤدي مباشرة إلى تنفيذ تعليمات برمجية عن بعد عبر رفع وتفعيل web shell. سجلت خدمة mySites.guru، المختصة بإدارة مواقع Joomla وWordPress، جهود استغلال لهذه الثغرة اعتباراً من 27 يونيو 2026، بهدف زرع web shell على المواقع المستهدفة. تم معالجة المشكلة في Page Builder CK الإصدار 3.6.0.

  • CVE-2026-48908 (JoomShaper SP Page Builder): تمثل هذه الثغرة

    رفعًا غير مقيد لملف بنوع خطير (unrestricted upload of a file with a dangerous type)، مما يمكن المستخدمين غير المصادق عليهم من رفع ملفات عشوائية، وفي النهاية تنفيذ أكواد PHP. استغلت كـ

    ثغرة يوم الصفر (zero-day) (ثغرة تستغل قبل توفر تحديث لها) لإنشاء حساب Super User عبر طلب HTTP POST إلى النقطة الطرفية "index.php?option=com_sppagebuilder&task=asset.uploadCustomIcon". ينصح مستخدمو SP Page Builder بالتحديث إلى الإصدار 6.6.2 أو أحدث فوراً.

  • CVE-2026-55255 (Langflow): هي ثغرة

    تجاوز تفويض عبر مفتاح يتحكم به المستخدم (authorization bypass through a user-controlled key). تسمح هذه الثغرة للمهاجم الموثق بتنفيذ أي "flow" (سير عمل) يخص مستخدمًا آخر، وذلك عبر

    مرجع كائن مباشر غير آمن (Insecure Direct Object Reference - IDOR). كشفت Sysdig عن استغلال مشغل وحيد (45.207.216.55) لهذه الثغرة بالتزامن مع CVE-2026-33017، وهي ثغرة RCE غير مصادق عليها في Langflow، كجزء من حملة استمرت بين 22 و25 يونيو 2026. المهاجم استغلها لسرقة مفاتيح مزودي نماذج اللغة الكبيرة (LLM) ومفاتيح AWS، مؤكدًا أن منصات تنسيق الذكاء الاصطناعي (AI orchestration platforms) هي كنوز حقيقية من بيانات الاعتماد. الأنشطة كانت ذات دوافع مالية، وتتوافق مع هجمات الروبوتات وتعدين العملات المشفرة (cryptojacking).

يجب الإشارة إلى أن Langflow تعرضت لسلسلة من الثغرات المستغلة خلال العام الماضي، منها CVE-2025-3248 التي استغلت في أول حالة معروفة لـ

برمجية فدية ذاتية (agentic ransomware) تدعى JADEPUFFER، حيث قام وكيل ذكاء اصطناعي بتنفيذ عملية الابتزاز بالكامل. هذه التطورات لا تؤكد فقط تزايد حجم الهجمات، بل تعقيدها أيضاً.

السياق وتأثير السوق

  • قائمة CISA KEV مقابل الثغرات العادية: إدراج ثغرة في قائمة KEV من CISA ليس مجرد تحذير؛ إنه إعلان بأن الثغرة قيد الاستغلال النشط بالفعل. هذا يفرض على المؤسسات الأمريكية التزامًا فوريًا بتطبيق التصحيحات، مما يرفعها فوق آلاف الثغرات الأخرى التي قد تنتظر دورها في المعالجة. إهمال هذه القائمة يساوي فتح الأبواب للمهاجمين.
  • منصات تنسيق الذكاء الاصطناعي (مثل Langflow) مقابل الأنظمة التقليدية: تمثل منصات الذكاء الاصطناعي، خاصة تلك التي تنسق نماذج اللغة الكبيرة، هدفاً جديداً ومربحاً للمهاجمين. على عكس تطبيقات الويب التقليدية، تحتوي هذه المنصات على مفاتيح API حساسة لمزودي LLM وAWS، مما يجعل سرقتها ذات قيمة استراتيجية عالية. هذا يفتح جبهة جديدة بالكامل في الأمن السيبراني، حيث تتزايد أهمية حماية البنى التحتية للذكاء الاصطناعي بشكل مضطرد.
  • مطورو CMS وAI (Adobe, Joomla, Langflow) مقابل المهاجمين المستغلين: سرعة استغلال هذه الثغرات، سواء كانت بعد ساعات من الكشف أو كـ zero-day، تظهر أن المهاجمين متقدمون بخطوات. إنهم يراقبون إصدارات التصحيحات ويتنافسون لاستغلال الثغرات قبل أن يتمكن المستخدمون من التحديث. هذا الواقع يضع ضغطًا هائلاً على المطورين لإصدار تصحيحات فورية وواضحة، وعلى المستخدمين لتطبيقها بجدية لا تعرف التسويف.

رؤية Glitch4Techs

إن إدراج CISA لأربع ثغرات خطيرة في KEV، مع تصنيف CVSS يصل إلى 10.0 لبعضها، ليس مجرد خبر عابر؛ إنه دليل دامغ على أن الشركات لا تستطيع مواكبة سرعة المهاجمين. الفشل في تأمين Adobe ColdFusion أو Joomla أو Langflow ليس حادثاً فردياً، بل هو نمط متكرر يعكس إهمالاً خطيراً في تطبيق التصحيحات والتحديثات الأمنية. المنصات التي تتعامل مع مفاتيح LLM وAWS أصبحت أهدافاً رئيسية، والمهاجمون يستغلون هذه الثغرات لسرقة بيانات الاعتماد، أو شن هجمات شبكة الروبوتات (botnet)، أو حتى تنفيذ برمجيات الفدية الذكية (agentic ransomware) مثل JADEPUFFER. الالتزام بتطبيق التصحيحات بحلول 10 يوليو 2026 هو الحد الأدنى. أي تأخير يعرض الأنظمة للخطر المباشر، ويجب أن تتحمل الشركات مسؤولية العواقب الكاملة لهذا التقصير.

أعجبك المقال؟ شاركه

النشرة البريدية

كن أول من يعرف بمستقبل التقنية

أهم الأخبار والتحليلات التقنية مباشرة في بريدك.

مقالات قد تهمك