يعاني Microsoft SharePoint Server من ثغرة حرجة لتنفيذ التعليمات البرمجية عن بُعد، هي CVE-2026-58644، تحمل تصنيف CVSS يبلغ 9.8 ويجري استغلالها فعليًا في البرية. رقّعتها Microsoft في إصدار Patch Tuesday بتاريخ July 14، ثم نقّحت النشرة بهدوء لتعترف بأن الخلل جرى تسليحه كثغرة يوم صفر قبل وجود أي إصلاح. أضافتها CISA إلى فهرس الثغرات المستغَلة المعروفة (Known Exploited Vulnerabilities) بتاريخ July 17 ومنحت الوكالات الفيدرالية مهلة حتى July 19 للترقيع. إذا كنت تُشغّل SharePoint محليًا وكان متصلًا بالإنترنت، فتعامل مع الأمر كحالة طارئة، واعلم أن تثبيت الترقيع ليس سوى نصف المهمة.
ما هي CVE-2026-58644؟
إن CVE-2026-58644 هي ثغرة إلغاء تسلسل بيانات غير موثوقة في SharePoint Server المحلي. يمكن للمهاجم المُصادَق عليه بامتيازات لا تقل عن Site Owner كتابة تعليمات برمجية عشوائية وتنفيذها على الخادم عبر الشبكة، وهذا سبب تصنيف Microsoft لها بدرجة 9.8 مع انخفاض تعقيد الهجوم. وهي قابلة للاستغلال عن بُعد عبر الإنترنت، ودور Site Owner ليس عائقًا مرتفعًا في شبكة داخلية كبيرة قد يملك فيها مئات الموظفين موقعًا.
يؤثر الخلل على الإصدارات المحلية المدعومة: SharePoint Server Subscription Edition وSharePoint Server 2019 وSharePoint Enterprise Server 2016. أما SharePoint Online ضمن Microsoft 365 فليس متأثرًا، لأن Microsoft ترقّع بيئتها المُستضافة بنفسها. هذه مشكلة تخص الاستضافة الذاتية حصرًا، وتقع على العاتق ذاته من الخوادم المحلية التي تحمّلت سلسلة قاسية من الثغرات الحرجة خلال العام الماضي.
لماذا هذه حالة طارئة من نوع "رقّع الآن"
ثلاث حقائق تدفع CVE-2026-58644 إلى رأس قائمة الأولويات. أولًا، جرى استغلالها كثغرة يوم صفر: امتلك المهاجمون تعليمات برمجية فعّالة قبل أن يمتلك المدافعون ترقيعًا، لذا قد يكون أي خادم مكشوف مخترَقًا بالفعل. ثانيًا، تحركت CISA بسرعة، فأضافتها إلى فهرس KEV بتاريخ July 17 مع موعد نهائي للمعالجة في July 19 للوكالات الفيدرالية. إن نافذة فيدرالية مدتها يومان قصيرة على نحو غير معتاد، وتشير إلى أن الاستغلال حقيقي وآخذ في الاتساع. ثالثًا، ليست هي الثغرة الوحيدة في SharePoint التي تتعرض لهجوم نشط الآن.
ينبّه تحذير CISA إلى مجموعة من ثغرات SharePoint المستغَلة، حيث تقف CVE-2026-58644 إلى جانب CVE-2026-32201 وCVE-2026-45659 وCVE-2026-56164. غدا SharePoint المحلي هدفًا مفضّلًا لأنه مكشوف للإنترنت، ويحتفظ بمستندات حساسة، وكثيرًا ما يتأخر في الترقيع. هذا هو النمط نفسه الكامن وراء ثغرات تنفيذ التعليمات البرمجية عن بُعد المكشوفة للإنترنت التي تناولناها هذا العام، من ثغرة ما قبل المصادقة في Progress KEMP LoadMaster إلى Patch Tuesday في يونيو أصدر ست ثغرات يوم صفر منفصلة.
الترقيع وحده لن ينقذك
إليك الجزء الذي تتخطاه معظم التغطيات. في ثغرة إلغاء تسلسل بيانات SharePoint، يُغلق تطبيق التحديث الباب لكنه لا يطرد من هو في الداخل أصلًا. لقّنت حملة "ToolShell" لعام 2025 المدافعين درسًا قاسيًا: بمجرد أن يبلغ المهاجم تنفيذ التعليمات البرمجية على SharePoint، يحصد مفاتيح جهاز ASP.NET الخاصة بالخادم، وتتيح له تلك المفاتيح تزوير حِمولات __VIEWSTATE موقّعة للعودة إلى الداخل حتى بعد ترقيع الخادم بالكامل. والترقيع لا يبدّل مفتاحًا مسروقًا.
ولهذا السبب بالضبط تتجاوز إرشادات التحصين من CISA بمراحل عبارة "ثبّت التحديث". تُوجِّه الوكالة مشغّلي SharePoint إلى تفعيل تكامل AMSI، وتبديل مفاتيح جهاز IIS، والبحث عن أدوات حصاد مفاتيح الجهاز وغيرها من آثار الاختراق وإزالتها قبل افتراض أن الحادثة قد أُغلقت. إذا كان خادمك مكشوفًا للإنترنت في الأيام السابقة للترقيع، فينبغي أن تفترض أن المفاتيح ربما سُرقت وأن تبدّلها، ثم تعيد تشغيل IIS ليسري التغيير.
قائمة التحقق للمعالجة
اعمل من الأعلى إلى الأسفل. لا تتوقف عند الخطوة الأولى.
| الأولوية | الإجراء | لماذا يهم |
|---|---|---|
| 1 | طبّق تحديثات SharePoint لشهر July 2026 على كل خادم محلي | يُغلق CVE-2026-58644 وثغرات CVE المستغَلة ذات الصلة |
| 2 | فعّل AMSI في Full Mode وتأكّد من تشغيل Defender/AV | يحجب كثيرًا من حِمولات web-shell وإلغاء التسلسل أثناء التشغيل |
| 3 | بدّل مفاتيح جهاز IIS، ثم أعد تشغيل IIS | يُبطل أي مفاتيح ربما سرقها المهاجم بالفعل |
| 4 | ابحث عن web shells وأدوات حصاد المفاتيح وعمليات w3wp.exe الفرعية الغريبة | قد يظل الجهاز المرقّع جهازًا مخترقًا |
| 5 | اسحب SharePoint عن الإنترنت العام أو ضعه خلف بوابة VPN/ZTNA | يزيل الانكشاف الذي يجعله قابلًا للاستغلال عن بُعد |
| 6 | قيّد الوصول إلى Central Administration وفعّل تسجيلًا مخصّصًا | يحدّ من نطاق الضرر ويمنحك أدلة إن تعرّضت لضربة |
إذا لم يكن SharePoint بحاجة إلى مواجهة الإنترنت العام، فإن أنظف حل هو التوقف عن كشفه بالكامل. وينطبق المبدأ نفسه على أي خدمة مستضافة ذاتيًا تُشغّلها؛ فهي أول ما يستحق التأمين عندما تُعِدّ الساعة الأولى الآمنة لخادم جديد.
الصورة الأشمل
وصلت CVE-2026-58644 ضمن واحد من أكبر إصدارات Patch Tuesday في تاريخ Microsoft على الإطلاق، ولا يزال SharePoint المحلي يولّد ثغرات تنفيذ عن بُعد حرجة يجري استغلالها بنشاط، ربعًا بعد ربع. بالنسبة لكثير من المؤسسات لم يعد السؤال الصادق "بأي سرعة يمكننا ترقيع هذه"، بل "لماذا لا يزال خادم المستندات هذا قابلًا للوصول من الإنترنت المفتوح من الأساس". الترقيع هنا إلزامي وعاجل. أما تقليص سطح الهجوم، بحيث لا تصبح ثغرة SharePoint الصفرية القادمة أزمة مكشوفة للإنترنت، فهو المكسب على المدى الأطول.
الأسئلة الشائعة
هل يجري استغلال CVE-2026-58644 فعليًا؟
نعم. أكّدت Microsoft الاستغلال في البرية ونقّحت تحذيرها لوسم الخلل كثغرة يوم صفر، وأضافته CISA إلى فهرس الثغرات المستغَلة المعروفة بتاريخ July 17, 2026 مع موعد نهائي فيدرالي للترقيع في July 19؟
هل SharePoint Online أو Microsoft 365 متأثران؟
لا. تؤثر الثغرة على SharePoint Server المحلي فقط، وتحديدًا Subscription Edition و2019 وEnterprise Server 2016. أما SharePoint Online المستضاف من Microsoft فترقّعه Microsoft وهو خارج النطاق؟
هل أحتاج فعلًا إلى تبديل مفاتيح الجهاز بعد الترقيع؟
إذا كان خادمك مكشوفًا للإنترنت قبل تطبيق الإصلاح، فنعم. يستطيع المهاجمون الذين بلغوا تنفيذ التعليمات البرمجية سرقة مفاتيح جهاز ASP.NET وإعادة استخدامها لاستعادة الوصول بعد الترقيع، لذا تنصح CISA بتبديل مفاتيح جهاز IIS وإعادة تشغيل IIS كجزء من المعالجة؟
هل يحتاج المهاجم إلى أن يكون مُصادَقًا عليه؟
نعم، بمستوى Site Owner على الأقل. وهذا عائق أدنى مما يبدو في نشر كبير يضم كثيرًا من مالكي المواقع، وباقترانه بانخفاض تعقيد الهجوم والوصول عبر الشبكة يستحق مع ذلك تصنيف خطورة يبلغ 9.8؟
Sources
- The Hacker News — CISA Adds Exploited SharePoint RCE Zero-Day CVE-2026-58644 to KEV: CVSS 9.8، ثغرة تنفيذ عن بُعد عبر إلغاء التسلسل، استغلال يوم صفر فعلي في البرية، الإضافة إلى KEV بتاريخ July 17 والموعد الفيدرالي النهائي في July 19، وثغرات CVE المستغَلة ذات الصلة.
- SecurityWeek — Fresh SharePoint Vulnerability Exploited Soon After Disclosure: اشتراط Site Owner مُصادَق عليه، وانخفاض تعقيد الهجوم، والاستغلال عن بُعد عبر الإنترنت.
- CISA — Known Exploited Vulnerabilities Catalog: الموعد الفيدرالي النهائي للمعالجة وإرشادات تحصين SharePoint (AMSI، وتبديل مفاتيح جهاز IIS، وإزالة آثار حصاد المفاتيح، وتقييد Central Administration).
وقاص احمد وسیر
وقاص احمد وسیر مطوّر ومهندس أتمتة بخبرة تزيد على 8 سنوات في بناء أنظمة إنتاجية يستخدمها أكثر من 100 ألف شخص. يبني تطبيقات SaaS متعددة المستأجرين، وأتمتة بالذكاء الاصطناعي (n8n، تدفقات LLM، بوتات واتساب)، وبنية استضافة (WHM/cPanel، CloudLinux) — وهو صانع WaSphere وFlowMaticX وعلامة الاستضافة WaseerHost. أنجز أكثر من 100 مشروع لشركات صغيرة ومتوسطة ووكالات وشركات ناشئة ممولة.



