حذّر باحثون في الأمن السيبراني من ثغرات متعددة في مكتبة JavaScript واسعة الانتشار تُستخدم مع معيار Google Protocol Buffers، بعد أن تبين أن بعض آلياتها تتعامل مع البيانات غير الموثوقة بثقة زائدة. وتمثل المشكلة الأساسية في أن بيانات يفترض أن تبقى وصفية قد تُستغل، في ظروف محددة، لتغيير سلوك التطبيق أو دفعه إلى تنفيذ شيفرة برمجية غير مرغوب فيها.
وأعلنت شركة Cyera عن اكتشاف ست ثغرات في مكتبة protobuf.js، وهي مكتبة يعتمد عليها عدد كبير من التطبيقات والخدمات الرقمية. وتكتسب هذه الثغرات أهمية خاصة لأن المكتبة لا تصل دائمًا مباشرة إلى المشاريع، بل تدخل غالبًا عبر حزم وسيطة وأدوات تطوير وخدمات سحابية ومكونات مرتبطة بتقنيات مثل gRPC وبعض مكتبات Google Cloud، ما يصعّب عملية تتبعها داخل البيئات المؤسسية.
وبحسب الباحثين، تشمل الثغرات التي تم رصدها أخطاء تؤدي إلى تنفيذ شيفرة عن بُعد، وحرمان من الخدمة، وتسميم الكائنات الداخلية في JavaScript، وحقن الخصائص، إضافة إلى مشكلات مرتبطة بتوليد الشيفرة البرمجية. هذا التنوع يرفع مستوى الخطر، لأن الاستغلال لا يقتصر على اختراق مباشر للتطبيق، بل قد يمتد إلى البنية المحيطة به أثناء البناء أو أثناء تبادل الملفات بين الأنظمة.
الثغرة الأخطر: تحويل البيانات الوصفية إلى شيفرة
أبرز الثغرات التي كشف عنها التقرير تحمل المعرف CVE-2026-44291، وهي مرتبطة بآلية توليد الشيفرة داخل protobuf.js. وتعتمد المكتبة على إنشاء دوال ترميز وفك ترميز بشكل ديناميكي، ثم تمريرها عبر مُنشئ الدوال في JavaScript. ووفقًا للباحثين، يمكن في سيناريوهات معينة التلاعب بالمعلومات المستخرجة من المخطط البرمجي بحيث تتحول من مجرد وصف لبنية الرسائل إلى شيفرة قابلة للتنفيذ.
هذا النوع من الخلل لا يقتصر أثره على أخطاء في المعالجة فقط، بل يفتح بابًا لاستغلالات أكثر تعقيدًا داخل بيئة Node.js. وقد أظهر الباحثون سلسلة هجوم تستخدم تسميم الكائنات الداخلية لإقناع المكتبة بقبول قيم يسيطر عليها المهاجم على أنها أنواع protobuf مشروعة، ثم إدخال تلك القيم في الشيفرة المولدة وتنفيذها داخل العملية نفسها.
تأثير يتجاوز التطبيق إلى سلسلة الإمداد
ثغرة أخرى تحمل المعرف CVE-2026-44295 وتؤثر في أداة سطر الأوامر pbjs المستخدمة في توليد الشيفرة. وفي هذا السيناريو، يمكن لأسامي مخططات مُصممة خصيصًا أن تُزرع داخل ملفات JavaScript الناتجة، ثم تُنفذ لاحقًا عند استيراد هذه الملفات داخل مشروع آخر. وهذا يجعل المشكلة أخطر من ثغرة محلية داخل مكتبة منفردة، لأن أثرها قد ينتقل عبر مستودعات الكود والبيئات المؤتمتة وخطوط التكامل والتسليم المستمر.
ويرى الباحثون أن الخطر يتفاقم مع ازدياد اعتماد فرق التطوير على تبادل المخططات، والموصلات، وملفات الإعداد بين خدمات داخلية وخارجية. فحتى عندما لا يكون المهاجم قادرًا على الوصول المباشر إلى التطبيق النهائي، قد يكفيه التأثير على ملف وسيط أو مخطط معتمد داخل سلسلة البناء لزرع حمولة خبيثة تصل لاحقًا إلى بيئة موثوقة.
ثغرات إضافية تؤثر في الاستقرار والسلوك الداخلي
إلى جانب الثغرات التي قد تقود إلى تنفيذ شيفرة، رصد الباحثون خللًا في CVE-2026-44292 يتيح حقن خصائص قديمة أو موروثة داخل الكائنات، ما يسمح بتعديل سلوك التطبيق بطرق غير متوقعة. كما حددوا ثلاث ثغرات أخرى مرتبطة بحالات حجب الخدمة تحمل المعرفات CVE-2026-44289 وCVE-2026-44290 وCVE-2026-44294، ويمكن استغلالها عبر مدخلات مصاغة بعناية لإرباك التطبيق أو استنزاف موارده أو التسبب في تعطله.
ورغم أن بعض هذه المشكلات يتطلب شروطًا محددة حتى ينجح الاستغلال، فإن الباحثين أشاروا إلى أن تلك الشروط أصبحت أكثر شيوعًا في البيئات الحديثة التي تعتمد على تدفقات بيانات مؤتمتة وواجهات برمجة تطبيقات وتكاملات طرف ثالث. وفي مثل هذه البيئات، لم تعد المخططات وملفات الإعداد مجرد مكونات سلبية، بل أصبحت نقاط عبور محتملة للهجمات.
إصدارات متأثرة وتحديثات متاحة
تشير النتائج إلى أن الثغرات تؤثر في protobuf.js بإصدارات حتى 7.5.5، وكذلك الإصدارات 8.0.0 و8.0.1. كما تشمل أيضًا نسخًا ضعيفة من protobuf.js-cli. وبحسب ما جرى توضيحه، تم توفير تصحيحات في protobuf.js 7.5.6 و8.0.2، بينما يُنصح مستخدمو أداة سطر الأوامر بالترقية إلى 1.2.1 أو 2.0.2.
وتبرز أهمية التحديث السريع في هذه الحالة لأن كثيرًا من الفرق لا تدرك أصلًا أنها تستخدم المكتبة المتأثرة، نظرًا لكونها تعتمد عليها بشكل غير مباشر عبر تبعيات وسيطة. لذلك قد تبقى الأنظمة معرضة للخطر حتى عندما تبدو سجلات الاعتماد البرمجي خالية من اسم المكتبة في الواجهة الأمامية للمشروع.
ما الذي تعنيه هذه الثغرات لفرق التطوير والأمن
توضح هذه القضية أن أمن مكونات البيانات لم يعد منفصلًا عن أمن الشيفرة. فكلما ازدادت آليات التوليد الآلي وتبادل المخططات داخل سلاسل الإمداد البرمجية، ارتفع احتمال أن تتحول ملفات كان يُنظر إليها بوصفها وصفية فقط إلى نقطة استغلال حقيقية. ولهذا يحتاج المطورون وفرق العمليات الأمنية إلى مراجعة التبعيات بشكل أدق، ومراقبة المخططات القادمة من مصادر خارجية، والتعامل مع ملفات البناء بنفس مستوى الحذر المطبق على الشيفرة التنفيذية.
كما تكشف الثغرات عن تحدٍ متنامٍ في بيئات الذكاء الاصطناعي والبيانات، حيث تتنقل المخططات والموصلات وملفات الإعداد بين خدمات متعددة بشكل متواصل. وفي هذه البيئة، يصبح أي خلل في مكتبة أساسية واسعة الاستخدام قادرًا على إحداث أثر يتجاوز نطاقه التقني المباشر ليصل إلى البنية المؤسسية وسلاسل الإمداد البرمجية بأكملها.