شركة Progress تعالج ثغرات خطيرة في MOVEit WAF وLoadMaster قد تسمح بتنفيذ أوامر عن بُعد
الأمن السيبرانيأخبار الأمن السيبراني

شركة Progress تعالج ثغرات خطيرة في MOVEit WAF وLoadMaster قد تسمح بتنفيذ أوامر عن بُعد

ابراهيم الهياجمآخر تحديث: أبريل 21, 2026

أعلنت شركة Progress Software عن إصدار تحديثات أمنية عاجلة لمعالجة عدة ثغرات في منتجات MOVEit WAF وLoadMaster، والتي قد تُمكّن المهاجمين من تنفيذ أوامر عن بُعد (RCE) وحقن أوامر على نظام التشغيل، إضافة إلى تجاوز أنظمة الحماية.

أبرز تهديدات الأمن السيبراني هذا الأسبوع: ثغرات Zero-Day وهجمات فدية متطورة

مقالات ذات صلة

وأوضحت الشركة أن الثغرتين CVE-2026-3517 وCVE-2026-3519 تؤثران على واجهات برمجة التطبيقات (APIs) في منتجات ADC، حيث يمكن استغلالهما من قبل مستخدمين لديهم صلاحيات “Geo Administration” و“VS Administration” لتنفيذ أوامر عشوائية على أجهزة LoadMaster. وتعود المشكلة إلى عدم التحقق بشكل كافٍ من مدخلات المستخدم في أوامر مثل “addcountry” و“aclcontrol”.

كما تم الكشف عن ثغرة أخرى تحمل المعرف CVE-2026-3518، تؤثر على LoadMaster أيضًا، ويمكن استغلالها من قبل مهاجم مصادق يمتلك صلاحيات كاملة (“All”)، بسبب تمرير مدخلات غير مُنقّاة في أمر “killsession”.

وفي سياق متصل، تم رصد ثغرة رابعة CVE-2026-4048 في واجهة المستخدم (UI)، حيث يمكن لمهاجم يمتلك صلاحيات كاملة إدخال كود خبيث داخل ملف قواعد WAF مخصص، ما يؤدي إلى تنفيذ أوامر نتيجة ضعف التحقق أثناء رفع الملفات.

كما عالجت الشركة ثغرة إضافية CVE-2026-21876 تتعلق بإمكانية تجاوز سياسات الجدار الناري (Firewall)، نتيجة خلل منطقي في التحقق من مجموعات الأحرف داخل طلبات HTTP متعددة الأجزاء (multipart). حيث يتم التحقق فقط من آخر رأس (header) بدلاً من جميع الرؤوس، ما يسمح بتمرير حمولة خبيثة مشفرة دون اكتشافها من قبل WAF.

وأكدت Progress أن استغلال هذه الثغرات قد يسمح للمهاجمين المصادق عليهم بتنفيذ أوامر وتعليمات برمجية على الأنظمة المستهدفة، مما يشكل خطرًا كبيرًا على البنية التحتية.

وقد تم إصدار التحديثات الأمنية في الإصدارات التالية:

  • MOVEit WAF إصدار 7.2.63.0
  • LoadMaster GA إصدار 7.2.63.1
  • LoadMaster LTSF إصدار 7.2.54.17
  • ECS Connection Manager إصدار 7.2.63.1
  • Connection Manager for ObjectScale إصدار 7.2.63.1

وأشارت الشركة إلى أنها لم تتلقَ حتى الآن تقارير عن استغلال فعلي لهذه الثغرات، لكنها شددت على ضرورة قيام المستخدمين بتحديث أنظمتهم بشكل فوري لتفادي أي هجمات محتملة.

الهجمات الإلكترونية وأنواعها: دليل شامل للمبتدئين

الوسوم
ابراهيم الهياجمآخر تحديث: أبريل 21, 2026

مقالات ذات صلة

إصدارات جديدة من cPanel وWHM تسد ثلاث ثغرات أمنية خطيرة.. والتوصية بالتحديث الفوري

إصدارات جديدة من cPanel وWHM تسد ثلاث ثغرات أمنية خطيرة.. والتوصية بالتحديث الفوري

مايو 9, 2026
Google تطلق درعًا جديدًا لحماية Android من هجمات التوريد

Google تطلق درعًا جديدًا لحماية Android من هجمات التوريد

مايو 6, 2026
اختراق 30 ألف حساب فيسبوك عبر حملة تصيّد تستخدم Google AppSheet

اختراق 30 ألف حساب فيسبوك عبر حملة تصيّد تستخدم Google AppSheet

مايو 2, 2026
حزمة التصيّد Bluekit الجديدة تتضمن مساعدًا بالذكاء الاصطناعي

حزمة التصيّد Bluekit الجديدة تتضمن مساعدًا بالذكاء الاصطناعي

مايو 2, 2026
زر الذهاب إلى الأعلى