خمسة ثغرات جديدة مُستغَلة تُضاف إلى كتالوج CISA — أوراكل ومايكروسوفت بين الأهداف

خمسة ثغرات جديدة مُستغَلة تُضاف إلى كتالوج CISA — أوراكل ومايكروسوفت بين الأهداف
خمسة ثغرات جديدة مُستغَلة تُضاف إلى كتالوج CISA — أوراكل ومايكروسوفت بين الأهداف
شارك هذا الخبر

أضافت وكالة الأمن السيبراني وبنية الإنترنت الأمريكية (CISA) يوم الاثنين خمس ثغرات أُكد استغلالها فعليًا إلى كتالوج “الثغرات المعروفة المستغَلة” (KEV)، بما في ذلك ثغرة جديدة في Oracle E-Business Suite تم توثيق استخدامها في هجمات واقعية.

ما الذي أضافته CISA؟

أشارت CISA إلى أن الإضافة تضمنت خمس ثغرات، من بينها CVE-2025-61884 في Oracle E-Business Suite، والتي وُصِفت بأنها ثغرة من نوع Server-Side Request Forgery (SSRF) في مكوّن Runtime الخاص بـ Oracle Configurator، وقد تسمح للمهاجمين بالوصول غير المصرح به إلى بيانات حساسة. وذكرت الوكالة أن هذه الثغرة “قابلة للاستغلال عن بُعد دون مصادقة”.

تفاصيل الثغرات: أوراكل، مايكروسوفت، Kentico وآبل

  • CVE-2025-61884 (درجة CVSS: 7.5): ثغرة SSRF في Oracle EBS (الإصدارات المتأثرة 12.2.3 حتى 12.2.14) قد تتيح الوصول إلى موارد حساسة إذا استُغلّت عن بُعد دون مصادقة.

  • CVE-2025-61882 (درجة CVSS: 9.8): ثغرة سابقة في Oracle EBS أُبلِغَ عن استغلالها أيضًا، وتُعد من النوع الحرج، إذ قد تسمح بتنفيذ كود عشوائي دون مصادقة على الأنظمة الضعيفة.

  • CVE-2025-33073 (درجة CVSS: 8.8): خلل في ضوابط الوصول في Microsoft Windows SMB Client — المعروف باسم هجوم “Reflective Kerberos relay” أو LoopyTicket — قد يسمح بترقية الامتيازات على خوادم النطاق إذا لم يُفعّل توقيع SMB. وقد أصدرت مايكروسوفت تحديثات إصلاحية في يونيو 2025.

  • CVE-2025-2746 وCVE-2025-2747 (درجة CVSS: 9.8): ثغرتان في Kentico Xperience CMS تمكنان من تجاوز المصادقة عبر مسارات بديلة أو سوء تعامل مع بيانات الاعتماد في مكوّن Staging Sync Server، وتم إصلاحهما في تحديثات مارس 2025.

  • CVE-2022-48503 (درجة CVSS: 8.8): ثغرة قديمة في مكوّن JavaScriptCore ضمن منتجات Apple تتعلق بالتحقق غير السليم من فهرس المصفوفة، وقد تؤدي إلى تنفيذ كود عشوائي عند معالجة محتوى ويب ضار، وقد تم تصحيحها في يوليو 2022.

ما الذي نعرفه عن الاستغلالات الفعلية؟

حتى الآن، أعلنت CISA أن CVE-2025-61884 تم استغلالها بالفعل في البرية، بينما لا تتوافر تفاصيل دقيقة عن كيفية استغلال بقية الثغرات الأربع الأخرى. باحثون من شركات أمنية مختلفة، من بينها Synacktiv وwatchTowr Labs، كشفوا عن تفاصيل تقنية حول بعض الثغرات مثل CVE-2025-33073 وثغرات Kentico.
كما أشارت تقارير استخبارات التهديدات إلى أن جزءًا من النشاط المرتبط بثغرة CVE-2025-61882 ربما نفّذته جهات ابتزاز إلكتروني تُعرف بعلامة Cl0p.

متطلبات التصحيح وتأثيرها على الوكالات الفيدرالية

فرضت CISA مواعيد تصحيح إلزامية لوكالات الجهاز التنفيذي المدني الفيدرالي (FCEB)، إذ يُطلب منها تصحيح الثغرات المدرجة بحلول 10 نوفمبر 2025 لحماية شبكاتها من التهديدات النشطة.
وتوصي الجهات الأمنية بتطبيق التحديثات الصادرة من الشركات المعنية فورًا، وتفعيل ضوابط الحماية مثل توقيع SMB، إلى جانب مراقبة الشبكات لرصد أي مؤشرات على استغلال تلك الثغرات.

وسوم
محمد طاهر
محمد طاهر
المقالات: 817

اترك ردّاً

لن يتم نشر عنوان بريدك الإلكتروني. الحقول الإلزامية مشار إليها بـ *


The reCAPTCHA verification period has expired. Please reload the page.

إقرأ أيضًا

الرئيسية إرسل إيميل أتصل بنا أعلى الصفحة