أصدرت شركتا Zoom وGitLab تحديثات أمنية لمعالجة عدد من الثغرات الأمنية التي قد تؤدي إلى هجمات حجب الخدمة (DoS) وتنفيذ تعليمات برمجية عن بعد. تأتي هذه التحديثات في ظل تزايد الاهتمام بالأمن السيبراني في المنطقة.
تمثل أبرز هذه الثغرات خللاً أمنياً حرجاً يؤثر على أجهزة Zoom Node Multimedia Routers (MMRs)، والذي يمكن أن يسمح لمشارك في الاجتماع بتنفيذ هجمات عن بعد. تحمل هذه الثغرة، التي تم اكتشافها داخلياً، درجة 9.9 من 10.0 على مقياس CVSS، مما يشير إلى خطورتها البالغة.
تحديثات Zoom لمعالجة ثغرات أمنية حرجة
بحسب تنبيه صادر عن Zoom، فإن الثغرة يمكن أن تسمح لمشارك في الاجتماع بتنفيذ تعليمات برمجية عن بعد عبر الوصول للشبكة. هذا الخلل يتعلق ببرمجيات Zoom Node Multimedia Routers (MMRs) قبل الإصدار 5.2.1716.0.
توصي Zoom العملاء الذين يستخدمون deployments Zoom Node Meetings، Hybrid، أو Meeting Connector بتحديث وحدات MMR الخاصة بهم إلى أحدث إصدار متاح. يهدف هذا الإجراء إلى توفير حماية فعالة ضد أي تهديدات محتملة قد تستغل هذه الثغرة.
حتى الآن، لا توجد أدلة تشير إلى استغلال هذه الثغرة الأمنية في العالم الواقعي. ومع ذلك، يشمل التأثير هذه الإصدارات: Zoom Node Meetings Hybrid (ZMH) MMR module قبل الإصدار 5.2.1716.0، وZoom Node Meeting Connector (MC) MMR module قبل الإصدار 5.2.1716.0.
GitLab تطلق تصحيحات لثغرات أمنية خطيرة
تزامنت هذه الإفصاحات مع إعلان GitLab عن إصدار تحديثات لمعالجة عدة ثغرات عالية الخطورة تؤثر على نسختيها Community Edition (CE) وEnterprise Edition (EE). يمكن أن تؤدي هذه الثغرات إلى هجمات حجب الخدمة (DoS) وتجاوز آليات المصادقة الثنائية (2FA).
من بين الثغرات المعالجة، هناك ثغرة (CVE-2025-13927) بدرجة 7.5 على مقياس CVSS، تسمح لمستخدم غير مصادق عليه بالتسبب في حالة حجب خدمة عبر إرسال طلبات معدة خصيصاً مع بيانات مصادقة غير صالحة. وتؤثر هذه الثغرة على جميع الإصدارات منذ 11.9 قبل 18.6.4، والإصدارات 18.7 قبل 18.7.2، والإصدارات 18.8 قبل 18.8.2.
بالإضافة إلى ذلك، هناك ثغرة أخرى (CVE-2025-13928) بدرجة 7.5، تتعلق بالتحكم غير الصحيح في التفويض ضمن واجهة برمجة تطبيقات الإصدارات (Releases API). يمكن لهذه الثغرة أن تسمح لمستخدم غير مصادق عليه بالتسبب في حالة حجب خدمة. ويشمل هذا التأثير إصدارات من 17.7 قبل 18.6.4، و18.7 قبل 18.7.2، و18.8 قبل 18.8.2.
وثمة ثغرة ثالثة (CVE-2026-0723) بدرجة 7.4، تسمح لشخص يمتلك معرف credential ID الضحية بتجاوز المصادقة الثنائية عن طريق تقديم استجابات مزورة للجهاز. وتؤثر هذه الثغرة على إصدارات من 18.6 قبل 18.6.4، و18.7 قبل 18.7.2، و18.8 قبل 18.8.2.
علاوة على ذلك، عالجت GitLab خطأين آخرين متوسطي الخطورة يمكن أن يتسببا في حجب الخدمة. الأول (CVE-2025-13335) بدرجة 6.5 CVSS، والذي يمكن استغلاله عبر تكوين مستندات Wiki مشوهة تتجاوز اكتشاف الدورات. بينما الثاني (CVE-2026-1102) بدرجة 5.3 CVSS، والذي ينجم عن إرسال طلبات مصادقة SSH مشوهة بشكل متكرر.