في خطوة تعكس خطورة التهديدات السيبرانية المتسارعة، أعلنت شركة أدوبي عن إطلاق حزمة تحديثات أمنية عاجلة لمعالجة سبع ثغرات بالغة الخطورة تحمل تقييم CVSS 10.0، إلى جانب ثغرات أخرى بدرجات متفاوتة، وذلك في منتجاتها ColdFusion وAdobe Campaign Classic. هذه الثغرات، التي وُصفت بأنها قادرة على منح المهاجمين صلاحيات تنفيذ أكواد عشوائية وقراءة ملفات النظام أو تجاوز خصائص الحماية، تضع المؤسسات أمام تحديات غير مسبوقة في مجال الأمن السيبراني.
تفاصيل الثغرات في ColdFusion
أوضحت أدوبي أن التحديثات الخاصة بـ ColdFusion شملت إصدارات ColdFusion 2023 Update 21 وColdFusion 2025 Update 10، حيث تم إصلاح ثغرات متعددة أبرزها:
- CVE-2026-48276 وCVE-2026-48283: ثغرات رفع ملفات خطيرة تسمح بتنفيذ أكواد عشوائية.
- CVE-2026-48277 وCVE-2026-48281 وCVE-2026-48316: ثغرات ناتجة عن ضعف التحقق من المدخلات، تؤدي إلى تنفيذ أوامر غير مصرح بها.
- CVE-2026-48282: ثغرة اجتياز المسارات، وصفت بأنها الأخطر، إذ تسمح بكتابة ملفات على النظام وتشغيلها بصلاحيات عالية.
- CVE-2026-48313 وCVE-2026-48315: ثغرات تمكن من قراءة ملفات النظام أو تصعيد الامتيازات.
وقد ساهم باحثون أمنيون مثل Anirudh Anand وMatan Sandori وفريق 2Bsecure في اكتشاف بعض هذه الثغرات، مما يعكس أهمية التعاون بين الشركات والمجتمع البحثي في مواجهة التهديدات.
ثغرة Campaign Classic
إلى جانب ذلك، أصدرت أدوبي تحديثًا لإصلاح ثغرة خطيرة في Adobe Campaign Classic، تحمل الرمز CVE-2026-48286، بدرجة خطورة قصوى (CVSS 10.0). هذه الثغرة ناتجة عن ضعف في آلية التفويض، وتسمح للمهاجم بتنفيذ أكواد عشوائية على الأنظمة المستهدفة. التحديث شمل الإصدار ACC v7: 7.4.3 build 9397، مع التأكيد أن النسخ المستضافة عبر أدوبي قد جرى تحديثها تلقائيًا، بينما تظل المسؤولية على المؤسسات التي تعتمد على النشر المحلي.
خلفيات تقنية واستغلال فعلي
أشارت تحليلات لاحقة من watchTowr Labs إلى أن بعض الثغرات مثل CVE-2026-48282 وCVE-2026-48313 تتضمن إمكانيات لكتابة وقراءة الملفات بشكل مباشر، إضافة إلى مشكلات أخرى مثل حذف الملفات أو إنشاء مجلدات. الباحث الأمني Sina Kheirkhah أوضح أن التحديثات تضمنت منع امتدادات ملفات جديدة مثل jspf وcfmail وwar، إلى جانب إضافة كتل برمجية جديدة لمنع اجتياز المسارات أثناء رفع الملفات.
ورغم أن خاصية رفع الملفات معطلة افتراضيًا في الإصدارات المتأثرة، إلا أن تفعيلها يجعل نقطة الضعف قابلة للاستغلال دون الحاجة إلى مصادقة، وهو ما يزيد من خطورة الموقف. بالفعل، تم رصد محاولة استغلال فعلية لثغرة CVE-2026-48282 خلال ساعات من إعلانها، حيث حاول مهاجم من عنوان IP في الهند قراءة ملف النظام C:\Windows\win.ini.
دور الذكاء الاصطناعي في تسريع الاكتشاف
اللافت أن أدوبي أعلنت عن تغيير في سياسة نشر نشراتها الأمنية، لتصبح مرتين شهريًا بدلًا من مرة واحدة، بدءًا من 14 يوليو 2026. هذا القرار جاء نتيجة اعتماد الشركة على تقنيات الذكاء الاصطناعي في تسريع اكتشاف الثغرات. وأكدت Aanchal Gupta، رئيسة الأمن في أدوبي، أن قدرات الذكاء الاصطناعي أصبحت متاحة أيضًا للمهاجمين، مما يقلص الفاصل الزمني بين الإعلان عن الثغرة واستغلالها من أيام إلى ساعات، وهو ما يفرض على الشركات التحرك بسرعة قصوى لتطبيق التحديثات.































