أصدرت شركة Zoom تحديثاً أمنياً لمعالجة ثغرة بالغة الخطورة في وحدات Node Multimedia Routers (MMRs)، والتي قد تسمح لمشارك في الاجتماع بتنفيذ أوامر عن بُعد (RCE) عبر حقن أوامر. الثغرة، المسجلة تحت الرمز CVE-2026-22844، حصلت على تقييم خطورة 9.9 من 10 وفق مقياس CVSS، واكتشفتها داخلياً وحدة الأمن الهجومي بالشركة.
التفاصيل تشير إلى أن الإصدارات السابقة للإصدار 5.2.1716.0 من وحدات MMR معرضة للاستغلال، وتشمل:
- Zoom Node Meetings Hybrid (ZMH) قبل الإصدار 5.2.1716.0
- Zoom Node Meeting Connector (MC) قبل الإصدار 5.2.1716.0
رغم عدم وجود دلائل على استغلال الثغرة في الهجمات الواقعية حتى الآن، أوصت الشركة جميع العملاء بتحديث أنظمة الاجتماعات والهياكل الهجينة إلى الإصدار الأخير فوراً لتفادي أي تهديد محتمل.
إصلاحات GitLab لثغرات DoS وتجاوز 2FA
في الوقت نفسه، أصدرت GitLab تحديثات أمنية لمعالجة عدة ثغرات عالية الخطورة في نسختي Community Edition (CE) وEnterprise Edition (EE)، أبرزها:
- CVE-2025-13927 (درجة 7.5): تسمح لمهاجم غير مصادق بإنشاء حالة DoS عبر إرسال طلبات مصممة ببيانات مصادقة تالفة.
- CVE-2025-13928 (درجة 7.5): ثغرة في صلاحيات واجهة Releases API قد تؤدي إلى حالة DoS من قبل مستخدم غير مصادق.
- CVE-2026-0723 (درجة 7.4): تسمح بتجاوز المصادقة الثنائية (2FA) إذا كان المهاجم يعرف معرف بيانات اعتماد الضحية، عبر إرسال استجابات أجهزة مزيفة.
كما أصلحت GitLab ثغرتين متوسطتي الخطورة:
- CVE-2025-13335 (درجة 6.5): تسمح بإنشاء حالة DoS عبر مستندات Wiki تالفة تتجاوز آلية كشف الدورات.
- CVE-2026-1102 (درجة 5.3): تسمح بإنشاء DoS عبر إرسال طلبات مصادقة SSH تالفة بشكل متكرر.
دلالات أمنية
هذه التحديثات تؤكد أن منصات التعاون وإدارة الأكواد مفتوحة المصدر أصبحت أهدافاً رئيسية للهجمات، وأن الثغرات في مكونات الشبكة أو واجهات البرمجة يمكن أن تتحول بسرعة إلى تهديدات واسعة النطاق. التوصية الأساسية للمؤسسات هي الإسراع في تطبيق التحديثات الأمنية، ومراجعة إعدادات المصادقة والاعتماد على آليات حماية إضافية لتقليل فرص الاستغلال.
