حلّ ثلاثاء التصحيحات من Microsoft ليونيو 2026 في التاسع من يونيو بأكثر من 200 إصلاح وستّ ثغرات يوم-صفر، واحدة منها قيد الاستخدام في الهجمات بالفعل. لكن القصة الأكبر هي الرفقة التي صاحبته: فقد جلب الأسبوع نفسه ثغرات يوم-صفر مستغَلّة فعلياً في Check Point VPN وOracle PeopleSoft وCisco SD-WAN وChrome — وعدد منها بلا تصحيح وقت الكشف. إن اكتفيت بقراءة عنوان Microsoft، فقد صحّحت الشيء الخطأ أولاً. إليك الأسبوع بأكمله، مرتَّباً بحسب ما يجري استغلاله فعلياً.
داخل دفعة ثلاثاء التصحيحات ليونيو 2026: رقم كبير، عيب عاجل واحد
أصدرت Microsoft إصلاحات لما يقارب 200 إلى 206 ثغرة بحسب أداة التتبّع التي تعتمدها، ما يجعل هذا واحداً من أكبر إصدارات ثلاثاء التصحيحات المسجَّلة. ومن بين تلك الثغرات، يفيد موقع BleepingComputer بأن 33 منها مصنَّفة حرجة، و28 منها قابلة للتنفيذ عن بُعد للأكواد.
كُشف عن ستّ ثغرات يوم-صفر. خمس منها كانت معلَنة قبل التصحيح لكن لم تُستغَلّ بعد:
| CVE | المكوّن | النوع | الحالة |
|---|---|---|---|
| CVE-2026-42897 | Exchange Server | انتحال (Spoofing) | مستغَلّة فعلياً |
| CVE-2026-45586 | CTFMON (إطار الترجمة) | تصعيد الصلاحيات | معلَنة علناً |
| CVE-2026-49160 | HTTP.sys ("HTTP/2 Bomb") | حجب الخدمة | معلَنة علناً |
| CVE-2026-45585 / CVE-2026-50507 | BitLocker | تجاوز ميزة أمنية | معلَنة علناً (PoC، وصول فيزيائي) |
| CVE-2020-17103 | مشغّل المرشّح المصغّر Cloud Files | تصعيد الصلاحيات | معلَنة علناً |
الثغرة التي تهمّ للفرز هي CVE-2026-42897، عيب الانتحال في Exchange Server، لأنها العيب الوحيد لدى Microsoft هذا الشهر المؤكَّد استخدامه فعلياً. وكانت CISA قد أدرجت بالفعل مشكلة Exchange الكامنة في فهرس الثغرات المعروفة المستغَلّة قبل التصحيح. إن كنت ما زلت تشغّل Exchange محلياً، فهذه خطوتك الأولى.
أمّا أكثر إدخال غير مستغَلّ مرعباً فهو CVE-2026-45657، وهي ثغرة تنفيذ أكواد عن بُعد في نواة Windows مصنَّفة 9.8 على مقياس CVSS، وتتيح بحسب SOCRadar لمهاجم بعيد غير موثَّق تشغيل أكواد بمستوى SYSTEM دون أي تفاعل من المستخدم. لم يُرصَد استغلال لها بعد، لكن ثغرة تنفيذ أكواد في النواة بلا توثيق وبتصنيف 9.8 لا تبقى نظرية طويلاً. كما تستحق ثغرة "HTTP/2 Bomb" في HTTP.sys (CVE-2026-49160) الانتباه إن كنت تستضيف خدمات ويب عامة: فطلب HTTP/2 صغير مُصمَّم بخبث يجبر الخادم على معالجة كمية بيانات غير متناسبة، وعلى الخوادم المشتركة قد يُسقِط خدمات متعددة دفعةً واحدة.
الجزء الذي تغفله الملخّصات: لم يكن Microsoft وحده
لا يحدث ثلاثاء التصحيحات في فراغ، وفي هذا الشهر تصادم مع سلسلة قاسية من ثغرات اليوم-صفر العابرة للموردين والتي كانت تُستغَلّ بالفعل. وقد أطّر التقرير الأسبوعي لموقع eSecurity Planet الأسبوع حول ثغرات اليوم-صفر واستغلالات الذكاء الاصطناعي ومخاطر سلسلة التوريد، ولسبب وجيه.
Check Point VPN — CVE-2026-50751 (CVSS 9.3، مستغَلّة)
عيب منطقي في التحقّق من الشهادات يتيح لمهاجم بعيد غير موثَّق إنشاء جلسة VPN دون كلمة مرور صالحة. وهو يؤثّر على البوابات التي تستخدم بروتوكول IKEv1 المهجور والتي تقبل عملاء الوصول عن بُعد القدامى دون اشتراط شهادة جهاز. وتُظهر الأدلة الجنائية استغلالاً منذ 7 مايو 2026، وربطت Check Point حادثاً واحداً على الأقل بعملية فدية Qilin. وأضافتها CISA إلى فهرس الثغرات المعروفة المستغَلّة، وأمهلت الوكالات الفيدرالية بحسب BleepingComputer ثلاثة أيام فقط — بموعد نهائي في 11 يونيو — للتصحيح أو عزل الأنظمة المتأثّرة. لا تستطيع التصحيح فوراً؟ انتقل إلى IKEv2، أو أوقِف دعم العملاء القدامى، أو اجعل مصادقة شهادة الجهاز إلزامية. إن استغلال تابعٍ لجهة فدية لعيب في VPN محيطي هو بالضبط السيناريو الذي يستمرّ في دفع الفرق نحو الوصول بنموذج الثقة الصفرية بدلاً من أنفاق VPN المسطّحة.
Oracle PeopleSoft — CVE-2026-35273 (CVSS 9.8، مستغَلّة)
ثغرة تنفيذ أكواد عن بُعد بلا توثيق في PeopleSoft Enterprise PeopleTools — يكفي الوصول الشبكي عبر HTTP للاستيلاء على الخادم. يفيد كلٌّ من Mandiant وThe Hacker News بأن عصابة ShinyHunters (المعرَّفة بـ UNC6240) استغلّتها كثغرة يوم-صفر حقيقية بين 27 مايو و9 يونيو، فاخترقت ما يقارب 300 نسخة وسرقت بيانات من أكثر من 100 مؤسسة — 68% منها في قطاع التعليم العالي. وأكّدت جامعة Nottingham وقوع اختراق، مع نشر 454,600 سجلّ طالب على موقع تسريبات المجموعة. ولم تنشر Oracle تنبيهها الاستثنائي حتى 10 يونيو، فظلّت الثغرة بلا تصحيح طوال فترة استنزافها. صحِّح فوراً وافترض حدوث اختراق إن كنت تشغّل نسخة PeopleSoft متاحة عبر الإنترنت.
Cisco SD-WAN Manager — CVE-2026-20245 (مستغَلّة، بلا تصحيح وقت الكشف)
عيب حقن أوامر في واجهة الأوامر بـ Catalyst SD-WAN Manager يشغّل أوامر اعتباطية بصلاحيات الجذر (root) عبر رفع ملفات مُصمَّمة بخبث. يشير SOC Prime إلى أنه يتطلّب صلاحيات netadmin (عبر بيانات اعتماد مسروقة أو بربط عيوب SD-WAN سابقة)، وأن الهجمات المرصودة دفعت تغييرات في الإعدادات إلى الأجهزة الطرفية. وعلم فريق Cisco PSIRT بالاستغلال في يونيو وكشف عنه مبكراً في 5 يونيو — دون تصحيح ودون حلّ بديل متاح حينها. والمعالجة هي جمع الأدلة والتحصين إلى أن يصدر إصلاح.
Chrome V8 — CVE-2026-11645 (مستغَلّة)
صحّحت Google ثغرة يوم-صفر في محرّك JavaScript المسمّى V8 قيد الاستغلال الفعّال. وثغرات اليوم-صفر في المتصفّحات هي أرض هجمات التنزيل العابر (drive-by)؛ فدع Chrome يتحدّث تلقائياً وتأكّد من أن أسطولك يعمل على النسخة المُصحَّحة.
ما الذي يجب تصحيحه أولاً
انزع شعارات الموردين ورتّب بحسب سؤال واحد: هل يجري استغلالها الآن؟
- Oracle PeopleSoft (CVE-2026-35273) — تنفيذ أكواد عن بُعد بلا توثيق، وسرقة بيانات جماعية جارية. صحِّح وانقّب عن أثر الاختراق اليوم.
- Check Point VPN (CVE-2026-50751) — مرتبطة ببرامج الفدية، والموعد النهائي الفيدرالي مرّ بالفعل. صحِّح أو طبّق إجراءات IKEv2/الشهادات الآن.
- Microsoft Exchange (CVE-2026-42897) — العيب الوحيد المستغَلّ فعلياً في حزمة ثلاثاء التصحيحات.
- Cisco SD-WAN (CVE-2026-20245) — مستغَلّة بلا تصحيح؛ حصِّن وراقب.
- Chrome V8 (CVE-2026-11645) — ادفع تحديث المتصفّح.
- تنفيذ أكواد في نواة Windows (CVE-2026-45657) — لم تُستغَلّ بعد، لكنها ثغرة تنفيذ أكواد عن بُعد بلا توثيق بتصنيف 9.8؛ جدوِلها قبل أن تصبح رقم 1.
لاحظ النمط: لم تكن أكثر العيوب ضرراً هذا الأسبوع في حزمة Microsoft الضخمة — بل كانت في الأجهزة الطرفية وتطبيقات المؤسسات المعرَّضة للإنترنت (بوابات VPN، وأنظمة الموارد البشرية، ومدراء SD-WAN). وهنا حيث ينفق المهاجمون ميزانية ثغرات اليوم-صفر، لأن عيباً واحداً بلا توثيق على جهاز عام أثمن من كومة من تصعيدات الصلاحيات المحلية.
وهذا أيضاً هو الدرس المتكرّر في أسوأ حوادث 2026: عادةً ما يبدأ الاختراق من شيء نسيت أنه معرَّض للإنترنت. وهو السبب الجذري نفسه وراء أزمة سلسلة توريد npm لهذا العام والموجة الجديدة من هجمات وكلاء الذكاء الاصطناعي — فقد نما سطح الهجوم أسرع من وتيرة التصحيح لدى أيّ كان.
نحن نشغّل بنيتنا التحتية الخاصة، لذا فإن أسابيع كهذه ليست مجرّدة بالنسبة لنا: ثلاثاء تصحيحات قياسي إضافةً إلى أربع ثغرات يوم-صفر مستغَلّة هو يوم ثلاثاء حقيقي. والفرق التي تجاوزته بنظافة لم تكن تلك التي صحّحت بأسرع وتيرة على كل الجبهات؛ بل تلك التي عرفت أيّ أجهزتها تواجه الإنترنت وصحّحتها أولاً. ابنِ ذلك الجرد قبل الأسبوع السيّئ القادم، لأنه آتٍ لا محالة.
قد نحصل على عمولة عبر بعض الروابط دون أي تكلفة إضافية عليك.
Waqas Ahmed Waseer
Waqas Ahmed Waseer is a developer and automation builder with 8+ years shipping production systems used by 100k+ people. He builds custom multi-tenant SaaS, AI automation (n8n, LLM workflows, WhatsApp bots) and hosting infrastructure (WHM/cPanel, CloudLinux) — and is the maker of WaSphere, FlowMaticX, and the WaseerHost hosting brand. 100+ projects delivered for SMBs, agencies and funded startups.
