أعلنت شركة الأمن السيبراني Lexfo عن اكتشاف ثغرة أمنية عالية الخطورة في خدمة المصادقة Munge، تُعرف بالرمز CVE-2026-25506، بدرجة خطورة 7.7 وفق مقياس CVSS. الثغرة تتيح لمهاجم محلي تسريب مفاتيح التشفير من ذاكرة العمليات، واستخدامها لتزوير بيانات اعتماد Munge تمكنه من انتحال شخصية أي مستخدم، بما في ذلك المستخدم الجذر (root)، للوصول إلى الخدمات التي تعتمد على Munge في المصادقة.
طبيعة الثغرة
تُستخدم Munge على نطاق واسع في بيئات الحوسبة عالية الأداء (HPC) لتوليد والتحقق من بيانات اعتماد المستخدمين. الثغرة المكتشفة تسمح للمهاجمين المحليين باستخراج المفتاح السري الخاص بـ Munge، ومن ثم توليد رموز مزيفة صالحة عبر كامل بيئة العنقود الحاسوبي، ما يمثل عملياً تصعيداً للامتيازات في سياق الحوسبة عالية الأداء.
عمر الثغرة والإصلاح
وفقاً لـ Lexfo، فإن الخلل ظل موجوداً في قاعدة الشيفرة لمدة تقارب 20 عاماً، ويؤثر على جميع الإصدارات حتى 0.5.17. وقد تمت معالجته في الإصدار الجديد 0.5.18 الذي صدر في 10 فبراير 2026. هذا يكشف عن خطورة الثغرات طويلة الأمد التي قد تبقى كامنة في البرمجيات الأساسية دون اكتشاف لعقود.
التداعيات الأمنية
الثغرة تمثل تهديداً كبيراً لبيئات الحوسبة عالية الأداء التي تعتمد على Munge، حيث يمكن لمهاجم محلي أن يحصل على وصول غير مصرح به إلى موارد حساسة، ويؤثر على سلامة العمليات الحسابية المعقدة التي تُجرى في هذه البيئات. كما أن إمكانية تزوير بيانات الاعتماد على مستوى العنقود بأكمله تجعلها ثغرة ذات تأثير واسع النطاق.
