الصفحات
بحث
تحذير: ثغرة خطيرة في مكتبة vm2 تتيح اختراق الأنظمة (2026)
الأمن السيبراني #أمن_سيبراني #NodeJS

تحذير: ثغرة خطيرة في مكتبة vm2 تتيح اختراق الأنظمة (2026)

تاريخ النشر: آخر تحديث: 24 مشاهدة 0 تعليق 2 دقائق قراءة
مروان المسلماني
مروان المسلماني رئيس التحرير والمؤسس
24 مشاهدة
0 إعجاب
0 تعليق
موثوق 95%

كشف باحثون أمنيون عن ثغرة حرجة (CVE-2026-22709) في مكتبة vm2 الشهيرة لبيئة Node.js، تسمح للمهاجمين بالهروب من بيئة العزل (Sandbox) وتنفيذ أكواد خبيثة على النظام المضيف، مما يضع آلاف المشاريع في دائرة الخطر.

تفاصيل الثغرة وتأثيرها

تُستخدم مكتبة vm2 مفتوحة المصدر لإنشاء سياق آمن يتيح للمستخدمين تشغيل تعليمات JavaScript البرمجية غير الموثوقة دون السماح لها بالوصول إلى نظام الملفات. وتتمتع المكتبة بشعبية هائلة، حيث تُستخدم في أكثر من 200,000 مشروع على GitHub، بما في ذلك منصات SaaS وروبوتات الدردشة، وتسجل حوالي مليون عملية تنزيل أسبوعياً.

وعلى الرغم من توقف المشروع في عام 2023 بسبب ثغرات متكررة، إلا أن المطور باتريك شيميك (Patrik Šimek) أعاد إحياء المشروع في أكتوبر الماضي بإصدار النسخة 3.10.0 لمعالجة الثغرات السابقة.

كيف يحدث الاختراق؟

تكمن المشكلة الجديدة في فشل vm2 في عزل الـ 'Promises' بشكل صحيح، وهو المكون المسؤول عن العمليات غير المتزامنة. بينما تقوم المكتبة بتنقيح الاستدعاءات (callbacks) المرتبطة بتنفيذ Promise الداخلي الخاص بها، فإن الدوال غير المتزامنة تُرجع Promise عاماً لا يتم تنقيح استدعاءات .then() و .catch() الخاصة به بشكل كافٍ.

وأوضح مطور المشروع أن هذا الخلل في الإصدار 3.10.0 يسمح للمهاجمين بتجاوز عملية التنقيح، مما يتيح لهم الهروب من الصندوق الرملي (Sandbox) وتشغيل تعليمات برمجية عشوائية. وكما تظهر الصورة المرفقة للكود البرمجي الذي شاركه المطور، يمكن استغلال الثغرة لتنفيذ أوامر مباشرة على النظام المضيف.

الحل وتاريخ من الثغرات

نظراً لسهولة استغلال الثغرة CVE-2026-22709 في النسخ المصابة، يوصى المستخدمون بالترقية فوراً. وقد تم معالجة الثغرة جزئياً في الإصدار 3.10.1، ثم تم تحسين الإصلاح في 3.10.2، وأكد شيميك لموقع BleepingComputer أن "جميع الثغرات المكتشفة تم إصلاحها بشكل صحيح" في الإصدار الأحدث 3.10.3.

جدير بالذكر أن vm2 عانت سابقاً من ثغرات حرجة مشابهة، منها CVE-2022-36067 التي كشف عنها باحثون في Oxeye، وثغرتي CVE-2023-29017 و CVE-2023-30547 التي اكتشفها الباحث SeungHyun Lee، وجميعها كانت تسمح بالهروب من بيئة العزل.

الخلاصة والنصائح

إذا كنت تعتمد على vm2 في مشاريعك، فإن التحديث إلى الإصدار 3.10.3 ليس خياراً بل ضرورة قصوى لحماية بياناتك وأنظمتك من الاختراق.

الأمن السيبراني

أحدث أخبار وتحليلات الأمن السيبراني
عرض الكل
##أمن_سيبراني ##NodeJS ##برمجة ##تحديث_أمني

الأسئلة الشائعة

تُصنف كثغرة حرجة تسمح للمهاجمين بالهروب من بيئة العزل (Sandbox) وتنفيذ تعليمات برمجية عشوائية على النظام المضيف، مما قد يؤدي للسيطرة الكاملة عليه.

يجب على المستخدمين التحديث فوراً إلى الإصدار 3.10.3 أو أحدث، حيث قام المطور بإصلاح الخلل الأمني بالكامل في هذه النسخة.

السبب هو فشل المكتبة في تنقيح (Sanitization) استدعاءات الـ Promises بشكل صحيح، وتحديداً دوال .then() و .catch() في العمليات غير المتزامنة.

التعليقات 0

سجل دخولك لإضافة تعليق

لا توجد تعليقات بعد. كن أول من يعلق!