ستة ثغرات “Proto6” في مكتبة protobuf.js تهدد تطبيقات Node.js بتنفيذ أوامر عن بُعد وهجمات حجب الخدمة

ثغرات خطيرستة ثغرات "Proto6" في مكتبة protobuf.js تهدد تطبيقات Node.js بتنفيذ أوامر عن بُعد وهجمات حجب الخدمةة في مكتبة vm2 لـ Node.js تسمح بالهروب من الصندوق وتنفيذ تعليمات برمجية عشوائية
ثغرات خطيرة في ستة ثغرات "Proto6" في مكتبة protobuf.js تهدد تطبيقات Node.js بتنفيذ أوامر عن بُعد وهجمات حجب الخدمةمكتبة vm2 لـ Node.js تسمح بالهروب من الصندوق وتنفيذ تعليمات برمجية عشوائية
شارك هذا الخبر

يُعد Protocol Buffers (Protobuf) آلية مفتوحة المصدر لتسلسل البيانات المهيكلة، طُوّرت في البداية داخل جوجل عام 2008 قبل أن تُتاح للعامة. تعتمد عليها تطبيقات واسعة النطاق في مجالات قواعد البيانات، أنظمة الذكاء الاصطناعي، خطوط الإنتاج البرمجية (CI/CD)، وأطر العمل السحابية. مكتبة protobuf.js هي النسخة المخصصة لجافاسكريبت وTypeScript، وتُستخدم بكثافة في تطبيقات Node.js، مكتبات جوجل السحابية، وأدوات مثل Baileys الخاصة بأتمتة واجهة واتساب ويب.

تفاصيل الثغرات الأمنية المكتشفة

باحثو الأمن السيبراني في شركة Cyera كشفوا عن ست ثغرات خطيرة أُطلق عليها اسم Proto6، يمكن استغلالها لتنفيذ أوامر عن بُعد (RCE) أو التسبب في هجمات حجب الخدمة (DoS). أبرز هذه الثغرات جاءت على النحو التالي:

  • CVE-2026-44289 (درجة خطورة 7.5): تسبب في انهيار النظام عبر تكرار غير محدود في معالجة البيانات.
  • CVE-2026-44290 (درجة خطورة 7.5): حجب الخدمة على مستوى العملية عند تحميل مخططات تحتوي خيارات غير آمنة.
  • CVE-2026-44291 (درجة خطورة 8.1): استغلال تلوث النموذج الأولي (Prototype Pollution) لتوليد شيفرات خبيثة.
  • CVE-2026-44292 (درجة خطورة 5.3): حقن النموذج الأولي داخل مُنشئي الرسائل المولدة.
  • CVE-2026-44294 (درجة خطورة 5.3): حجب الخدمة عبر أسماء حقول مصممة خصيصًا في الشيفرة المولدة.
  • CVE-2026-44295 (درجة خطورة 8.7): حقن شيفرات في مخرجات أداة pbjs عبر أسماء مخططات خبيثة.
سيناريوهات الاستغلال المحتملة

وفقًا للباحث Assaf Morag، فإن إدخال مخطط Protobuf خبيث واحد يكفي لإحداث انهيار أو تنفيذ أوامر داخل بيئة التطبيق. في سياق عملي، يمكن لمهاجم أن يزرع مخططًا خبيثًا داخل سير عمل CI/CD، مما يؤدي إلى تسريب أسرار البناء (Build Secrets) أو تعطيل خدمات تعتمد على Node.js مثل روبوتات واتساب المبنية على مكتبة Baileys.
الأخطر بين هذه الثغرات هو CVE-2026-44291، حيث يمكن للمهاجم استغلال إدخال ملوث للوصول إلى تنفيذ أوامر جافاسكريبت داخل العملية نفسها، عبر آلية تلوث النموذج الأولي التي تجعل النصوص الخبيثة تبدو وكأنها أنواع بيانات صالحة.

الإصدارات المتأثرة والحلول المتاحة

الإصدارات المتأثرة تشمل:

  • protobuf.js: حتى الإصدار 7.5.5، والإصدارات 8.0.0 حتى 8.0.1.
  • protobufjs-cli: حتى الإصدار 1.2.0، والإصدارات 2.0.0 حتى 2.0.1.

تم إصدار ترقيعات أمنية في الإصدارات 7.5.6 و 8.0.2 لمكتبة protobuf.js، وفي الإصدارات 1.2.1 و 2.0.2 لأداة protobufjs-cli. ينصح الخبراء بضرورة تطبيق هذه التحديثات فورًا لتقليل المخاطر المحتملة.

التداعيات على بيئات الذكاء الاصطناعي والمؤسسات

أشارت شركة Cyera إلى أن الاستخدام المكثف لـ protobuf.js داخل قواعد البيانات، أنظمة التخزين المتجهية (Vector Stores)، خطوط الاستدلال (Inference Pipelines) وأدوات الأوركستراشن يجعل أي استغلال ناجح لهذه الثغرات ذا أثر واسع على المؤسسات.
الاعتماد المتزايد على المخططات والبيانات الوصفية كمدخلات موثوقة في أنظمة الذكاء الاصطناعي يفتح مساحات جديدة للهجوم، حيث يمكن أن تتحول البيانات إلى سلوكيات غير متوقعة، وهو ما يستدعي إعادة التفكير في كيفية إدارة فرق الأمن لهذه الافتراضات.

وسوم
محمد وهبى
محمد وهبى
المقالات: 1208

اترك ردّاً

لن يتم نشر عنوان بريدك الإلكتروني. الحقول الإلزامية مشار إليها بـ *


The reCAPTCHA verification period has expired. Please reload the page.

إقرأ أيضًا

الرئيسية إرسل إيميل أتصل بنا أعلى الصفحة