كشفت مبادرة Zero Day التابعة لشركة Trend Micro، في الخامس عشر من يوليو 2026، عن ثغرة أمنية حرجة في برنامج أرشفة وضغط الملفات الشهير 7-Zip. الثغرة التي اكتشفها الباحث لاندون بينغ (Landon Peng) من شركة Lunbun LLC، تحمل المعرف CVE-2026-14266 وتم توثيقها في النشرة الاستشارية ZDI-26-444.
تكمن خطورة هذه الثغرة في سماحها للمهاجمين بتنفيذ تعليمات برمجية عشوائية عن بُعد، وذلك عن طريق استغلال خلل يؤدي إلى تجاوز سعة المخزن المؤقت المستند إلى الكومة عند معالجة البيانات وفك الضغط عن الملفات بصيغة XZ، وهو ما يهدد ملايين المستخدمين والشركات بمخاطر اختراق أنظمتهم.
وتوضح التفاصيل التقنية الواردة في نشرة مبادرة ZDI أن الخلل يتركز بدقة في كيفية معالجة أداة 7-Zip لبيانات XZ المقسمة. فعند فتح المستخدم لملف أرشيف جرى التلاعب به، أو زيارة صفحة ويب خبيثة مصممة لتمرير حمولة XZ ضارة، تؤدي هذه المعالجة غير الآمنة إلى كتابة بيانات تتخطى المساحة المخصصة لها داخل المخزن المؤقت الكومي، ما يمنح الشيفرة الخبيثة القدرة على التحكم في مسار تنفيذ البرنامج والحصول على صلاحيات جلسة العمل النشطة.
ورغم أن استغلال هذه الثغرة يتطلب تفاعلاً مباشراً من المستخدم، مثل فتح الأرشيف الخبيث أو زيارة الموقع الضار، إلا أن خبراء الأمن يحذرون من اعتماد المهاجمين المتزايد على تكتيكات الهندسة الاجتماعية، ورسائل التصيد الاحتيالي التي تحتوي على مرفقات خبيثة لإيقاع الضحايا. وما يزيد أبعاد هذا التهديد هو الشعبية الهائلة والانتشار الواسع لبرنامج 7-Zip كأداة أساسية في بيئات العمل الفردية والمؤسسية، وفي مراكز البيانات حول العالم، الأمر الذي يجعله هدفاً جاذباً لحملات هجمات سلاسل الإمداد وتوزيع برمجيات الفدية.
وتشير السجلات الزمنية للإفصاح إلى أن المكتشف لاندون بينغ قد أبلغ فريق تطوير 7-Zip بالثغرة في الخامس من يونيو 2026. وعقب ذلك، أصدر المطورون تصحيحاً أمنياً ضمن الإصدار 26.02 من البرنامج بتاريخ 25 يونيو 2026، أي قبل نحو ثلاثة أسابيع من الإعلان العام المنسق عن الثغرة.
ومع ذلك، لم يشر سجل التغييرات الرسمي لبرنامج 7-Zip صراحة إلى المعرف CVE-2026-14266، ما قد يضع عقبات أمام مدراء الأنظمة والمستخدمين في ربط هذا التحديث الأمني بالثغرة المذكورة. وتؤكد نشرة مبادرة ZDI أن معالجة هذا الخلل تمت بالفعل لجميع الإصدارات السابقة، وأن الحل متاح بالترقية إلى الإصدار 26.02 أو الإصدارات اللاحقة له.
وحتى الآن، لم ترصد أي مؤشرات على استغلال نشط لهذه الثغرة في هجمات على أرض الواقع، لكن طبيعتها التقنية تجعل من السهل صياغتها كأداة هجومية سريعة الفعالية، ما ينذر بظهور استهدافات قريبة للأنظمة التي لم يتم تحديثها بعد. وفي حين لم تصدر أي جهة حتى الآن تقييماً رسمياً لدرجة خطورة الثغرة وفق مقياس (CVSS)، فإن التهديد يظل مرتفعاً بالنظر إلى إمكانية تنفيذ الشيفرات البرمجية عن بعد.
وللحد من هذه المخاطر وتأمين البنية التحتية الرقمية، يتعين على مسؤولي التقنية والمستخدمين التحقق من إصدار برنامج 7-Zip المثبت على أجهزتهم والترقية فوراً إلى الإصدار 26.02 كحد أدنى. كما ينصح بتعطيل ميزة الفتح التلقائي للملفات المضغوطة القادمة من مصادر غير موثوقة، وتفعيل أنظمة فحص المرفقات في البريد الإلكتروني، وتكثيف حملات التوعية الأمنية للموظفين لتجنب فتح ملفات الأرشيف المشبوهة.







