Netcrook Logo
👤 KERNELWATCHER
🗓️ 03 Mar 2026  

ضائع في الترجمة: كيف يفتح خلل خفي في محرّك اللغة لدى Angular الباب أمام القراصنة

العنوان الفرعي: ثغرة حرجة في مسار الترجمة لدى Angular تعرّض ملايين تطبيقات الويب لهجمات XSS خفية وسرقة بيانات.

عندما تتصفح موقعًا بلغتك الأم، نادرًا ما تفكر مرتين في النص الذي تراه. لكن بالنسبة لآلاف تطبيقات الويب المبنية باستخدام Angular، تحوّلت عملية ترجمة تبدو روتينية إلى بوابة غير متوقعة للمجرمين الإلكترونيين. فقد وضع خلل مُكتشف حديثًا في نظام التدويل (i18n) لدى Angular البيانات الحساسة والثقة على المحك، محوّلًا كل رسالة مترجمة إلى حصان طروادة محتمل.

تشريح فخ الترجمة

يكمن جوهر هذا الخلل عالي الخطورة في كيفية تعامل Angular مع رسائل ICU (المكوّنات الدولية ليونيكود) - وهي ضرورية لإدارة الترجمات المعقدة مثل صيغ الجمع أو المصطلحات الخاصة بالنوع الاجتماعي. في سير عمل نموذجي، يستخرج المطورون الرسائل من التطبيق، ويرسلونها إلى المترجمين (وأحيانًا إلى متعاقدين من طرف ثالث)، ثم يدمجون الملفات المترجمة مجددًا. لكن هنا تبدأ المخاطر: تفشل Angular في تنقية HTML داخل هذه النصوص المترجمة تنقيةً شاملة.

إذا تمكّن مهاجم من اختراق ملف ترجمة - مثل .xliff أو .xtb - يمكنه دسّ شيفرة JavaScript خبيثة. وعندما يعرض التطبيق الترجمة الملوّثة، تُنفَّذ تلك الشيفرة مباشرة في متصفح المستخدم، وبصلاحيات التطبيق نفسه. هذا ليس هجوم XSS (البرمجة عبر المواقع) المعتاد حيث يُدخل المستخدم قيمة سيئة. بل هو هجوم خبيث على سلسلة التوريد - يتغذّى على الثقة بين المطورين وشركائهم في الترجمة.

لماذا يهم الأمر

التداعيات خطيرة: قد يتمكن المهاجمون من سحب بيانات الاعتماد أو رموز الجلسات أو البيانات الحساسة من ذاكرة المتصفح أو LocalStorage أو ملفات تعريف الارتباط - وربما إرسالها كلها إلى خوادم بعيدة. أو قد يعمدون إلى تخريب صفحة الويب، ما يقوّض ثقة المستخدمين ويضر بسمعة الشركة. الثغرة، المصنفة «عالية» من حيث الشدة، تؤثر على نطاق واسع من إصدارات Angular، بما في ذلك فروع الإنتاج وما قبل الإصدار.

ما الذي يجب على المطورين فعله

الإصلاح الرسمي؟ تحديث Angular إلى أحدث الإصدارات التي تتضمن التصحيح (19.2.19 أو 20.3.17 أو 21.1.6 أو 21.2.0). ولمن لا يستطيعون الترقية فورًا، يوصي الخبراء بمراجعة صارمة والتحقق من كل محتوى الترجمة، خصوصًا القادم من مصادر خارجية. كما أن فرض سياسة أمن محتوى قوية (CSP) يمكنه حظر السكربتات غير المصرح بها، بينما يساعد تفعيل Trusted Types في المتصفحات على ضمان عرض HTML الآمن فقط.

الخلاصة: عندما تصبح اللغة سلاحًا

تُعد ثغرة i18n في Angular تذكيرًا صارخًا بأن حتى أكثر أجزاء البرمجيات اعتيادية - مثل الترجمات - قد تتحول إلى قنوات لهجمات متقدمة. في عالم رقمي معولم، لا تتعلق الثقة فقط بما يراه المستخدمون، بل بكل يد خفية تشكّل الشيفرة خلف الستار.

WIKICROOK

  • Cross: البرمجة عبر المواقع (XSS) هي هجوم سيبراني يحقن فيه القراصنة شيفرة خبيثة في مواقع الويب لسرقة بيانات المستخدمين أو اختطاف الجلسات.
  • التدويل (i18n): يهيّئ التدويل (i18n) البرمجيات للتكيّف بسهولة مع لغات ومناطق متعددة، داعمًا الأمن وسهولة الاستخدام للمستخدمين حول العالم.
  • رسائل ICU: رسائل ICU هي تنسيقات منظّمة لتوطين البرمجيات، تدعم الترجمة الآمنة وصيغ الجمع والتعامل مع المتغيرات لمنع الثغرات.
  • المحتوى: يشير المحتوى في الأمن السيبراني إلى البيانات داخل الملفات أو الاتصالات، مثل النصوص أو الصور، والتي قد تستهدفها التهديدات أو تتطلب حماية.
  • Trusted Types: Trusted Types هي ميزة أمنية في المتصفح تقيّد إنشاء HTML ديناميكيًا، ما يساعد على منع هجمات XSS عبر فرض ممارسات ترميز أكثر أمانًا.
Angular XSS attacks cybersecurity
KERNELWATCHER KERNELWATCHER
Linux Kernel Security Analyst
← Back to news