ثغرات CISA تتصدر المشهد الأمني بعد إضافة 4 ثغرات مستغلة فعلياً إلى كتالوج KEV، ما يرفع المخاطر على مواقع أدوبي وجوملا ومنصات Langflow.
ما هي ثغرات CISA الجديدة التي أضيفت إلى كتالوج KEV؟
أعلنت وكالة الأمن السيبراني الأمريكية CISA إدراج أربع ثغرات جديدة ضمن قائمة KEV الخاصة بالثغرات المعروفة والمستغلة. هذه الخطوة تعني أن هناك أدلة واضحة على استغلالها في هجمات حقيقية وليست مجرد مشكلات نظرية.
التركيز هذه المرة جاء على منتجات مرتبطة بإدارة المحتوى وتطوير التطبيقات، وهو ما يجعل التأثير واسعاً على الشركات والمواقع الصغيرة والمتوسطة. ووفق متابعة تيكبامين، فإن سرعة الاستغلال بعد الكشف العلني كانت لافتة وتستدعي التحرك الفوري.
- CVE-2026-48282: ثغرة جرى استغلالها خلال ساعات من الإعلان عنها.
- CVE-2026-48908: استغلت لرفع ملف PHP خبيث على مواقع تعتمد إضافة SP Page Builder.
- CVE-2026-56290: استخدمت لزرع web shell على مواقع معرضة للخطر.
- CVE-2026-55255: ثغرة IDOR مرتبطة بهجمات على Langflow ضمن سلسلة أكبر.
كيف استُغلت ثغرات جوملا وأدوبي في الهجمات الأخيرة؟
أخطر ما في هذه الموجة أن بعض الهجمات استهدفت وظائف رفع الملفات مباشرة، ما سمح للمهاجمين بإدخال ملفات PHP خبيثة ثم توسيع السيطرة على الخادم. في إحدى الحالات، ظهرت حسابات Super User جديدة بعد الاستغلال، وهو مؤشر واضح على اختراق فعلي للموقع.
لماذا تُعد إضافات البناء هدفاً سهلاً؟
إضافات بناء الصفحات في جوملا وووردبريس تملك صلاحيات واسعة داخل الموقع، لذلك فإن أي خلل في التحقق من الطلبات أو مسار الرفع قد يتحول سريعاً إلى باب لتنفيذ أوامر عن بُعد. كما أن اختيار مجلد الحفظ من جانب المهاجم يصعّب عملية اكتشاف الملفات المزروعة.
- تحديث SP Page Builder إلى الإصدار 6.6.2 أو أحدث.
- تحديث Page Builder CK إلى الإصدار 3.6.0 أو أحدث.
- فحص مجلدات /media و /images و /templates و /administrator بحثاً عن ملفات PHP غريبة.
ما قصة ثغرة Langflow ولماذا تثير القلق؟
ثغرة CVE-2026-55255 وُصفت بأنها IDOR عابرة للمستأجرين، أي أنها قد تسمح بالوصول إلى بيانات أو موارد لا يفترض أن تكون متاحة. الأخطر أنها استُخدمت مع ثغرة أخرى لتنفيذ أوامر عن بُعد دون مصادقة على خوادم Langflow المكشوفة للإنترنت.
المعطيات تشير إلى حملة استمرت بين 22 و25 يونيو 2026، حيث انتقل المهاجم من الاستطلاع إلى تعداد التدفقات ثم الاستغلال ثم محاولة الاتصال بخوادم خارجية لجلب حمولة ثانية. هذا السلوك يرتبط عادة بهجمات البوت نت والتعدين الخفي للعملات.
ماذا يجب على الشركات ومديري المواقع فعله الآن؟
أفضل خطوة حالياً هي التعامل مع هذه التنبيهات باعتبارها حوادث نشطة لا تحديثات روتينية. يجب مراجعة السجلات، وتعطيل أي مكونات غير ضرورية، وتقييد الوصول إلى لوحات الإدارة ونقاط الرفع.
خطوات الاستجابة السريعة
- تطبيق التحديثات الأمنية فوراً على جوملا، أدوبي، وLangflow.
- البحث عن web shells والحسابات الإدارية غير المعروفة.
- مراجعة الاتصالات الصادرة من الخوادم لرصد محاولات تنزيل برمجيات إضافية.
- تفعيل المراقبة المستمرة ومؤشرات الاختراق على البيئات المعرضة للإنترنت.
في النهاية، تؤكد ثغرات CISA الجديدة أن زمن الاستجابة أصبح عاملاً حاسماً، لأن الفاصل بين الكشف والاستغلال قد يُقاس بالساعات فقط، كما يشير تحليل تيكبامين إلى أن التأخر في التحديث قد يفتح الباب لاختراق كامل للبنية المستهدفة.