كشف باحثو أمن المعلومات عن ثلاث ثغرات حرجة في واجهة خادم الويب Rack Ruby، قد تسمح للمهاجمين بالوصول غير المصرح به إلى الملفات، وحقن بيانات خبيثة، وتزوير سجلات النظام.
الثغرات المكتشفة (بحسب OPSWAT)
رقم CVE
معدل الخطورة (CVSS)
نوع الثغرة
التأثير المحتمل
CVE-2025-27610
7.5 (عالية)
اختراق مسار الملفات
الوصول إلى ملفات حساسة خارج الدليل الجذر
CVE-2025-27111
6.9 (متوسطة)
تلاعب بسجلات النظام
تزوير إدخالات السجلات وتشويه ملفات اللوغ
CVE-2025-25184
5.7 (متوسطة)
حقن بيانات خبيثة
تلاعب بسجلات النظام وحقن أكواد ضارة
تحليل ثغرة CVE-2025-27610 الخطيرة
تتعلق الثغرة الأكثر خطورة بمكون Rack::Static الذي يستخدم لخدمة المحتوى الثابت مثل:
ملفات JavaScript
أنماط CSS
الصور والموارد الثابتة
آلية الاستغلال:
عدم تطهير مسارات الملفات المقدمة من المستخدم
استغلال تقنيات اختراق المسار (Path Traversal)
الوصول إلى ملفات خارج الدليل المخصص للمحتوى الثابت
“عندما لا يتم تعريف معلمة :root بشكل صريح، يستخدم Rack الدليل الحالي (Dir.pwd) افتراضيًا، مما قد يؤدي إلى كشف ملفات حساسة” – OPSWAT
إجراءات الحماية الموصى بها
الحل الفوري:
تحديث إلى أحدث إصدار من Rack Ruby
إزالة استخدام Rack::Static إذا لم يكن ضروريًا
إعدادات آمنة:
تحديد :root بدليل يحتوي فقط على ملفات عامة
تنفيذ التحقق من صحة مسارات الملفات
ثغرة حرجة في خدمة Infodraw Media Relay
كشف الباحث تيم فيليب شيفرز عن ثغرة مسار حرجة (CVE-2025-43928) بنقاط ضعف 9.8/10 تسمح بـ:
قراءة أي ملف من النظام
حذف أي ملف بشكل تعسفي
تستخدم أنظمة Infodraw في:
إنفاذ القانون
التحقيقات الخاصة
إدارة الأساطيل
النقل العام
“يُنصح بإيقاف التشغيل الفوري للأنظمة المعرضة للخطر حيث لا يوجد تصحيح متاح حتى الآن” – شيفرز
حن نعمل بجد لنقدم لك محتوىً مميزًا ومفيدًا مجانًا، والإعلانات تساعدنا على الاستمرار وتحسين تجربتك دون أي تكلفة عليك! 🌟
نحن نعدك بإعلانات غير مزعجة وذات قيمة، فقط تعطيل مانع الإعلانات يمنحنا فرصة للاستمرار في تقديم الأفضل لك! 🙌
🔧 كيف يمكنك تعطيل مانع الإعلانات؟
الأمر بسيط! انتقل إلى إعدادات المتصفح وأضف موقعنا إلى قائمة الاستثناءات. بهذه الخطوة، ستساعدنا على النمو والاستمرار في تقديم محتوى رائع لك دون أي قيود! 🚀
نحن نقدر دعمك، ونعدك بتجربة أفضل دائمًا! 💙
يمكنك تعديل هذه الصياغة بما يتناسب مع طبيعة موقعك والجمهور المستهدف، أو إضافة زر توجيهي لتسهيل العملية على المستخدمين. أخبرني إن كنت بحاجة إلى المزيد من التحسينات! 😊
