Netcrook Logo
👤 KERNELWATCHER
🗓️ 26 Mar 2026  

ثغرات حرجة في Node.js تعرّض الخوادم لإيقافات صامتة وهجمات خفية

موجة من الثغرات عالية الخطورة تفرض تحديثات عاجلة مع اكتساب المهاجمين طرقًا جديدة لتعطيل خوادم Node.js وتسريب البيانات والتلاعب بها حول العالم.

بدأ الأمر بانهيار - صامت، مفاجئ، ومدمّر. راقب مسؤولون في أنحاء العالم خوادمهم العاملة بـNode.js وهي تنهار تحت وطأة أخطاء غامضة، تاركة المواقع وواجهات برمجة التطبيقات في الظلام. لم يكن ذلك خللًا عشوائيًا، بل عرضًا لعيب أعمق ومنهجي: مجموعة من الثغرات المكتشفة حديثًا تتربص في قلب Node.js، إحدى أكثر منصات الخوادم شيوعًا في العالم. والآن، ومع إصدار فريق Node.js لتصحيح طارئ نادر، بدأ السباق لتأمين البنية التحتية الحرجة قبل أن تضرب الهجمة التالية.

حقائق سريعة

  • أصدرت Node.js تحديثات أمنية حرجة (الإصدار v20.20.2 وما بعده) لسد سبع ثغرات.
  • أخطر ثغرة (CVE-2026-21637) تتيح لمهاجمين عن بُعد غير موثّقين إسقاط الخوادم عبر أخطاء TLS.
  • أخطاء أخرى تمكّن من تسريبات ذاكرة، وهجمات حجب الخدمة (DoS)، وهجمات التوقيت، وتجاوزات الأذونات.
  • الثغرات تؤثر في مكوّنات أساسية: TLS وHTTP/2 ومحرك V8 وواجهة Web Crypto API وأذونات نظام الملفات.
  • يُحث على تطبيق التصحيحات فورًا لجميع نشرات Node.js المواجهة للإنترنت.

تشريح أزمة أمنية في Node.js

تبدو أحدث نشرة أمنية لمشروع Node.js كأنها دليل لجرائم الإنترنت، إذ جرى سد سبع نقاط ضعف مميزة دفعة واحدة. وفي مركز العاصفة: CVE-2026-21637، وهي علة عالية الخطورة في التعامل مع أخطاء TLS تتيح للمهاجمين إسقاط الخادم فورًا - من دون كلمة مرور أو مصادقة. تعود الثغرة إلى آلية SNICallback التي، إذا جرى تحفيزها باسم خادم مُصاغ بخبث، تتسبب في استثناء كارثي يفلت من معالجة الأخطاء المعتادة. النتيجة؟ إيقاف كامل للخادم، يُنفَّذ عن بُعد بطلب شبكي واحد.

لكن المتاعب لا تتوقف عند هذا الحد. فالتحديث يعالج أيضًا ثغرة متوسطة الخطورة في HTTP/2 (CVE-2026-21714) حيث يمكن للمهاجمين إغراق الخادم بإطارات WINDOW_UPDATE مشوّهة، ما يؤدي تدريجيًا إلى تسريب الذاكرة وفرض حجب خدمة. وفي الوقت نفسه، تبيّن أن محرك JavaScript V8 عرضة لهجوم “HashDoS” (CVE-2026-21717)، حيث يمكن لـJSON مُصاغ بعناية أن يطحن أداء الخادم حتى التوقف عبر تصادمات تجزئة متوقعة.

كما أشار باحثون أمنيون إلى «أوراكل توقيت» تشفيري في تنفيذ HMAC ضمن Web Crypto (CVE-2026-21713). هنا، قد يتمكن المهاجمون من استنتاج قيم سرية عبر قياس المدة التي يستغرقها الخادم لمقارنة البيانات في الذاكرة - وهي تقنية كلاسيكية في تحليل الشيفرات. واستكمالًا للتصحيح، سمحت ثغرتان منخفضتا الخطورة في نموذج الأذونات بمرور الشيفرة متجاوزة قيود نظام الملفات، بينما كشفت علة أخرى ترويسات HTTP لتلوث النموذج الأولي (prototype pollution)، وهو مسار خفي لكنه خطير للتلاعب بالبيانات.

ما يجعل هذه الموجة من العلل خطيرة على نحو خاص هو الطبيعة البعيدة وغير الموثّقة لعدة استغلالات. لا يحتاج المهاجمون إلى وصول مسبق أو بيانات اعتماد؛ فأي خدمة Node.js مكشوفة تُعد هدفًا مشروعًا. ومع تشغيل Node.js لكل شيء من واجهات برمجة تطبيقات التكنولوجيا المالية إلى خلفيات إنترنت الأشياء، فإن الخطر فوري وواسع النطاق.

حدّث أو هلك: إلحاح التحديثات الفورية

يوصي فريق أمن Node.js جميع المستخدمين بالترقية إلى أحدث الإصدارات المصححة: v20.20.2 أو v22.22.2 أو v24.14.1 أو v25.8.2. تتوفر المثبتات والملفات التنفيذية عبر القنوات الرسمية لجميع المنصات الرئيسية. ومع علم المهاجمين الآن بهذه الاستغلالات الجديدة، تصبح الأنظمة غير المُحدَّثة أهدافًا سهلة. بالنسبة للمؤسسات التي تعتمد على Node.js لتطبيقات بالغة الأهمية، فالرسالة واضحة: حدّث الآن - أو خاطر بتوقف كارثي وتسرب للبيانات.

الصورة الأكبر

هذا الحادث تذكير صارخ بالتعقيد الخفي وراء سلاسل البرمجيات الحديثة. حتى المنصات الموثوقة على نطاق واسع مثل Node.js قد تؤوي عيوبًا حرجة، والمهاجمون دائمًا يفتشون عن الاختراق الكبير التالي. ومع انقشاع غبار هذه العاصفة الأمنية، يبرز درس واحد: في الأمن السيبراني، اليقظة والاستجابة السريعة هما الدفاعان الحقيقيان الوحيدان.

WIKICROOK

  • TLS: TLS هو بروتوكول أمني يشفّر البيانات بين الخوادم والعملاء، بما يضمن الخصوصية والسلامة أثناء التواصل عبر الإنترنت.
  • Denial: «الحرمان» في الأمن السيبراني يعني جعل الأنظمة أو الخدمات غير متاحة للمستخدمين، غالبًا عبر هجمات مثل حجب الخدمة (DoS) التي تُغرقها بحركة مرور كثيفة.
  • HashDoS: HashDoS هو هجوم حجب خدمة يستغل تصادمات التجزئة، ما يدفع الخوادم إلى الإفراط في استخدام موارد المعالج ويؤدي إلى تدهور الأداء أو عدم الاستجابة.
  • Timing Oracle: أوراكل التوقيت هي ثغرة يستنتج فيها المهاجمون الأسرار عبر قياس مدة تنفيذ عمليات معينة، مستغلين فروق التوقيت في استجابات النظام.
  • Prototype Pollution: تلوث النموذج الأولي هو ثغرة في JavaScript يغيّر فيها المهاجمون نماذج الكائنات الأولية، ما قد يسبب سلوكيات غير متوقعة أو مشكلات أمنية في التطبيقات.
Node.js vulnerabilities security updates Denial-of-Service
KERNELWATCHER KERNELWATCHER
Linux Kernel Security Analyst
← Back to news