ثغرات أمنية جديدة أعادت ملف الأمن الرقمي للواجهة هذا الأسبوع، مع عيوب خطيرة في كيرل وHoppscotch وتحركات جديدة لحماية التصفح.
ما أبرز الثغرات الأمنية التي ظهرت هذا الأسبوع؟
المشهد الأمني هذا الأسبوع جمع بين أخطاء قديمة عادت للظهور، ومنصات موثوقة اتضح أنها تحمل مخاطر أكبر مما كان متوقعًا. كما شمل التقرير نشاطًا مقلقًا يتعلق بتحويل بعض التلفزيونات الذكية إلى بنية تحتية بالوكالة، إلى جانب تصاعد النقاشات داخل منتديات جرائم الذكاء الاصطناعي.
ووفقًا لقراءة تيكبامين، فإن القاسم المشترك بين هذه الملفات هو بساطة الاستغلال نسبيًا، لا تعقيده. فالكثير من الهجمات اعتمد على أسرار قديمة، وإعدادات سيئة، وثقة مفرطة في أنظمة يفترض أنها آمنة.
كيف تحاول كلودفلير والمتصفحات تقليل الهجمات والـ CAPTCHA؟
أعلنت كلودفلير تعاونها مع Google Chrome وMicrosoft Edge وMozilla Firefox لتطوير بروتوكول يحافظ على الخصوصية ويتيح للمواقع التمييز بين المستخدم الحقيقي والطلبات غير المرغوبة.
ما هي تقنية PACT الجديدة؟
التقنية تعتمد على رموز وصول خاصة باسم Private Access Control Tokens أو PACT. الفكرة هي منح المتصفح رمزًا مجهولًا يؤكد أن الجلسة يقودها إنسان، من دون كشف هوية المستخدم أو سجل تصفحه.
- تقليل الاعتماد على اختبارات CAPTCHA المزعجة
- تحسين الخصوصية مقارنة بأساليب التتبع التقليدية
- مساعدة المواقع على صد الطلبات الآلية الضارة
لماذا تعد ثغرات أمنية كيرل خطيرة جدًا؟
الباحثون كشفوا عن 6 ثغرات في مكتبة curl، تراوحت بين مشاكل في دورة حياة الذاكرة وأخطاء منطقية مرتبطة بإعادة استخدام الاتصالات والاعتمادات وهويات المضيفين.
أبرز هذه العيوب هي CVE-2026-8932، لأنها تسمح بإعادة استخدام اتصال قديم رغم تغيّر إعدادات mTLS، وهو سلوك كان يجب أن يمنع هذا الاستخدام تلقائيًا. الخطورة هنا لا تتعلق فقط بالاستغلال، بل بعمر الثغرة أيضًا.
- عدد الثغرات المكتشفة: 6
- أهم ثغرة: CVE-2026-8932
- أقدم إصدارات متأثرة: منذ curl 7.7
- تاريخ بداية التأثر: 22 مارس 2001
- الإصلاح متوفر في: الإصدار 8.21.0
ما قصة ثغرة Hoppscotch ولماذا وصلت درجتها إلى 10/10؟
النسخ المستضافة ذاتيًا من منصة Hoppscotch تعرضت للكشف عن ثغرة حرجة للغاية تحمل CVE-2026-50160 بدرجة CVSS كاملة 10.0. الثغرة تسمح لمهاجم غير موثّق بحقن مفاتيح إعدادات حساسة داخل قاعدة البيانات.
كيف يتم الاستغلال؟
المشكلة تتركز في نقطة POST /v1/onboarding/config، حيث يمكن تمرير مفاتيح مثل JWT_SECRET وSESSION_SECRET بسبب ضعف التحقق من الخصائص الزائدة. النتيجة المحتملة هي سيطرة كاملة على الخادم مع بقاء الوصول حتى بعد تغيير كلمات المرور.
- المنتج المتأثر: Hoppscotch self-hosted
- رقم الثغرة: CVE-2026-50160
- الدرجة: 10.0 من 10
- الأثر: اختراق كامل واستمرارية في الوصول
ماذا تعني هذه الثغرات الأمنية للمستخدمين والمطورين؟
الرسالة الأهم هي أن ثغرات أمنية بهذا الحجم لا تضرب الشركات فقط، بل تمتد إلى المستخدم النهائي عبر خدمات يومية ومكتبات مفتوحة المصدر وأجهزة منزلية متصلة. لذلك يجب تحديث curl فورًا، ومراجعة إعدادات Hoppscotch، والانتباه لأي نشاط غير معتاد في الأجهزة الذكية.
في النهاية، يؤكد هذا الأسبوع أن الأمن الرقمي لم يعد ملفًا مؤجلًا. وكما ترى تيكبامين، فإن التعامل السريع مع ثغرات أمنية معروفة يظل أقل تكلفة بكثير من انتظار الاختراق ثم محاولة احتوائه.
