Netcrook Logo
👤 KERNELWATCHER
🗓️ 21 Jan 2026  

Node.js تحت الحصار: كيف فتح خلل خفي في المُحلِّل الباب أمام تنفيذ الشيفرة

العنوان الفرعي: ثغرة حرجة في مكتبة npm شائعة تعرّض آلاف تطبيقات Node.js لهجمات على مستوى الامتيازات.

كان صباحًا هادئًا من أيام نوفمبر حين أطلق الباحث الأمني ماور كابلان جرس الإنذار بشأن خلل يتربّص عميقًا داخل حزمة npm المسماة binary-parser - وهي أداة يثق بها المطوّرون لفهم البيانات الثنائية الخام. لكن هذا لم يكن خللًا عاديًا. فالثغرة، المُسجّلة الآن تحت CVE-2026-1245، قد تُمكّن المهاجمين من إدخال شيفرتهم إلى قلب تطبيقات Node.js، بما قد يؤدي إلى اختراق الخوادم والبيانات الحساسة التي تحتفظ بها.

تشريح تهديد خفي

للوهلة الأولى، يبدو binary-parser بريئًا - مكتبة عملية تُمكّن المطوّرين من تفسير بيانات ثنائية معقّدة في JavaScript. لكن خلف الكواليس، يبني منطق التحليل على هيئة شيفرة JavaScript بصيغة نصية، ثم يقوم بترجمتها وتنفيذها باستخدام المُنشئ القوي Function. وبينما يوفّر هذا التصميم سرعة، فإنه يفتح أيضًا بابًا خلفيًا خطيرًا إذا لم تُضبط مُدخلات المستخدم بإحكام.

وبحسب مركز تنسيق CERT، تنشأ الثغرة من غياب تنقية القيم التي يزوّدها المستخدم - مثل أسماء الحقول ومعلمات الترميز - عند بناء تعريفات المُحلِّل ديناميكيًا. وإذا استطاع مهاجم التأثير في هذه القيم، يمكنه حقن JavaScript خبيث ستقوم التطبيق بتنفيذه كما هو، مع وراثة كامل امتيازات عملية Node.js الجارية.

عمليًا، يعني ذلك أن المهاجم قد يقرأ البيانات المحلية أو يعبث بها، أو يغيّر سلوك التطبيق، أو حتى يشغّل أوامر النظام، تبعًا لكيفية نشر تطبيق Node.js. وتكون المخاطر أشدّ حدة لدى خدمات السحابة أو تطبيقات المؤسسات التي تحلّل بُنى بيانات ثنائية غير موثوقة - مثل رفع ملفات مخصّصة، أو بيانات أجهزة إنترنت الأشياء، أو البروتوكولات المملوكة.

ولحسن الحظ، فإن التطبيقات التي تستخدم تعريفات مُحلِّل ثابتة ومشفّرة ضمنيًا تتفادى هذا المصير. أما تلك التي تبني المُحلِّلات ديناميكيًا اعتمادًا على مُدخلات المستخدم - وهو اختصار مغرٍ لتحقيق المرونة - فإن الخطر فيها حقيقي وحاضر.

الاستجابة والطريق إلى الأمام

عقب الإفصاح، تحرّك القائمون على binary-parser بسرعة، وأصدروا النسخة 2.3.0 مع إصلاحات حاسمة. كما يحثّ كل من CERT/CC وكابلان المستخدمين على الترقية فورًا وتجنّب تمرير مُدخلات يتحكم بها المستخدم إلى أسماء حقول المُحلِّل أو معلمات الترميز. ومع ذلك، تُعدّ الحادثة تذكيرًا صارخًا بأن حتى المكتبات واسعة الاستخدام والمُحافَظ عليها جيدًا قد تُخفي مخاطر عندما تتقاطع اختصارات الأداء مع بيانات غير موثوقة.

ومع استمرار نمو منظومة Node.js، تُعدّ هذه الحلقة جرس إنذار: لا ينبغي للراحة والسرعة أن تكونا على حساب الأمن. أيها المطوّرون، راجعوا تبعياتكم وتدفّقات بياناتكم - لأن الباب الخلفي التالي قد يكون مختبئًا على مرأى من الجميع.

WIKICROOK

  • Node.js: Node.js منصة لتشغيل JavaScript خارج المتصفحات، غالبًا على الخوادم. يمكن استغلالها لتنفيذ برمجيات خبيثة أو أتمتة الهجمات.
  • npm: npm مكتبة مركزية على الإنترنت يشارك فيها المطوّرون حزم شيفرة JavaScript ويحدّثونها ويديرونها لبناء البرمجيات بكفاءة وأمان.
  • تنفيذ شيفرة عشوائية: يتيح تنفيذ الشيفرة العشوائية للمهاجمين تشغيل أي شيفرة على نظام ما، وغالبًا ما يؤدي إلى سيطرة كاملة أو سرقة بيانات أو تثبيت برمجيات خبيثة.
  • مُنشئ Function: يُنشئ مُنشئ Function في JavaScript دوالًا من سلاسل شيفرة، لكنه يطرح مخاطر أمنية عبر تمكين تنفيذ شيفرة ديناميكي واحتمال هجمات الحقن.
  • التنقية: التنقية هي عملية إزالة أو ترشيح المحتوى الضار من البيانات لمنع الهجمات السيبرانية وحماية الأنظمة من الاستغلال.
Node.js binary-parser security vulnerability
KERNELWATCHER KERNELWATCHER
Linux Kernel Security Analyst
← Back to news