أعلنت وكالة الأمن السيبراني والبنية التحتية الأميركية (CISA) عن تحديث جديد لقائمة الثغرات المستغلة فعلياً (Known Exploited Vulnerabilities – KEV) بإضافة أربع ثغرات أمنية خطيرة، بعد توفر أدلة على استغلالها في هجمات نشطة. وتشمل هذه الثغرات:
- CVE-2025-68645 (درجة CVSS: 8.8): ثغرة إدراج ملفات عن بُعد في منصة Zimbra Collaboration Suite (ZCS)، تسمح للمهاجمين بإرسال طلبات إلى نقطة النهاية “/h/rest” ودمج ملفات عشوائية من مجلد WebRoot دون الحاجة إلى مصادقة. تم إصلاحها في نوفمبر 2025 بالإصدار 10.1.13.
- CVE-2025-34026 (درجة CVSS: 9.2): ثغرة تجاوز المصادقة في منصة Versa Concerto SD-WAN، تتيح الوصول إلى نقاط الإدارة الحساسة. تم إصلاحها في أبريل 2025 بالإصدار 12.2.1 GA.
- CVE-2025-31125 (درجة CVSS: 5.3): ثغرة في التحكم بالوصول في إطار عمل Vite Vitejs، تسمح بإرجاع محتويات ملفات عشوائية إلى المتصفح عبر معاملات مثل ?inline&import أو ?raw?import. تم إصلاحها في مارس 2025 بعدة إصدارات.
- CVE-2025-54313 (درجة CVSS: 7.5): ثغرة في سلسلة التوريد داخل حزمة eslint-config-prettier، تتضمن كوداً خبيثاً يسمح بتنفيذ ملف DLL يُعرف باسم “Scavenger Loader”، مصمم لسرقة المعلومات.
هجوم سلسلة توريد يستهدف مجتمع npm
الثغرة الأخيرة مرتبطة بهجوم سلسلة توريد واسع النطاق ظهر في يوليو 2025، واستهدف سبع حزم npm إضافية منها: eslint-plugin-prettier، synckit، @pkgr/core، napi-postinstall، got-fetch، و is. المهاجمون استغلوا حملة تصيّد استهدفت القائمين على هذه الحزم عبر روابط مزيفة تطلب “تأكيد البريد الإلكتروني”، ما مكّنهم من نشر نسخ ملوثة من الحزم الأصلية.
نشاط استغلال مستمر
وفقاً لشركة CrowdSec، فإن الاستغلال المرتبط بالثغرة CVE-2025-68645 بدأ منذ 14 يناير 2026، بينما لا تزال تفاصيل استغلال الثغرات الأخرى غير واضحة حتى الآن. هذا يعكس خطورة الوضع، خاصة أن بعض هذه الثغرات تسمح بالوصول غير المصرح به إلى أنظمة حساسة أو بتنفيذ برمجيات خبيثة عبر قنوات شرعية.
إلزام الوكالات الفيدرالية بالتصحيح
بموجب التوجيه التشغيلي الملزم BOD 22-01، يتعين على الوكالات الفيدرالية المدنية الأميركية تطبيق الإصلاحات اللازمة قبل 12 فبراير 2026 لضمان حماية شبكاتها من التهديدات النشطة. هذا الإجراء يعكس أهمية سرعة الاستجابة في مواجهة الثغرات الأمنية، خصوصاً تلك التي يتم استغلالها بالفعل في بيئات الإنتاج.
