كشفت شركة Rapid7 الأمنية عن ثغرة أمنية حرجة (CVE-2026-55040 بتقييم CVSS عند 9.1) لتجاوز المصادقة في منصة Microsoft SharePoint. وتتيح هذه الثغرة، المصنفة كضعف في المصادقة، لمهاجم غير مصرح له انتحال هوية أي مستخدم على الموقع واكتساب كامل صلاحياته. وتؤثر الثغرة بشكل مباشر على إصدارات SharePoint Server Subscription Edition، وSharePoint Server 2019، وSharePoint Server 2016.
جاء هذا الإعلان بالتزامن مع حزمة التحديثات الأمنية الدورية من Microsoft التي عالجت 622 ثغرة، في إصدار استثنائي تجاوز الرقم القياسي السابق المسجل في يونيو 2026 بأكثر من ثلاثة أضعاف.
تتمحور الثغرة الأمنية حول خلل تقني في سلسلة التحقق من رموز التمرير JWT داخل بيئة SharePoint. ويكفي المهاجم معرفة هوية المستخدم المستهدف، سواء عبر معرف الأمان (SID) في خدمة Active Directory أو اسم المستخدم الأساسي (UPN) الذي يسهل حصره وتعداده، ليتخطى آليات التحقق من الهوية بالكامل ويتصرف بصلاحيات الضحية، بما في ذلك حسابات مسؤولي النظام.
وقد أثبت باحثو Rapid7 أن هذه الثغرة ترتبط بسلسلة هجومية مع ثغرة ثانية لم يكشف عنها بعد من فئة تنفيذ التعليمات البرمجية عن بُعد (RCE)، ما يتيح للمخترقين إمكانية السيطرة الكاملة على الخادم المستهدف دون الحاجة لأي مصادقة مسبقة. ورغم توفر التصحيح الأمني للثغرة الحالية، يتوقع إطلاق تصحيح للثغرة المرتبطة بها ضمن تحديثات شهر أغسطس 2026.
وقد أسفر مشروع بحثي نفذه الباحث الأول في Rapid7، ستيفن فيور، عن اكتشاف هذه السلسلة الهجومية؛ حيث وظف تقنيات الذكاء الاصطناعي التوليدي والوكلاء الرقميين على جولتين، ركز في جولتها الثانية خلال مارس 2026 على تنفيذ 96 جلسة عمل واستخدام 256 مطالبة (Prompt).

وتخطط الشركة لنشر التفاصيل التقنية الكاملة للثغرة خلال 30 يوماً من تاريخ الإفصاح عنها، مؤكدة أن تثبيت تحديثات شهر يوليو الحالي يظل كافياً لكسر حلقة الاستغلال الحرج وتأمين الأنظمة، في انتظار معالجة الثغرة المرتبطة بها في أغسطس المقبل.
ورغم عدم وجود تأكيدات من Rapid7 أو Microsoft حول استغلال الثغرة فعلياً في هجمات نشطة قبل الإعلان عنها، بادرت وكالة الأمن السيبراني وأمن البنية التحتية الأمريكية (CISA) بالتزامن مع صدور التحديثات إلى إرسال تحذير عاجل يحث المؤسسات على تعزيز حماية خوادم SharePoint. ويأتي هذا التحذير عقب رصد استغلال نشط لثلاث ثغرات أخرى هي CVE-2026-32201، وCVE-2026-45659، وCVE-2026-56164، والتي أدرجتها الوكالة ضمن قائمة الثغرات المعروفة قيد الاستغلال النشط (KEV).
وعلى صعيد حزمة التصحيحات القياسية الضخمة، حظي نظام Windows بنصيب الأسد بواقع 416 ثغرة تم إصلاحها، شملت ثغرة في خدمة VMSwitch بدرجة خطورة 9.9 تتيح تصعيد الصلاحيات عبر الأجهزة الافتراضية، بالإضافة إلى ثغرة مستغلة فعلياً في خدمات اتحاد النشط المباشر (AD FS). كما تضمنت التحديثات إصلاحات غير معتادة لثغرات في خوادم ألعاب مثل Age of Empires II: Definitive Edition وMinecraft Server.
ومع توجه Microsoft الجديد نحو اختصار تفاصيل دليل التحديثات الأمنية وتحويلها إلى جداول موجزة، يصبح العبء الأكبر على عاتق مسؤولي تقنية المعلومات للمسارعة في تطبيق التحديثات وسد هذه الثغرات الحرجة لحماية بيئات العمل من التهديدات المتزايدة.







