أصدرت Amazon Web Services نشرة أمنية تحت المعرف 2026-014-AWS، استهدفت معالجة 3 ثغرات أمنية في منصة Research and Engineering Studio on AWS المعروفة اختصاراً باسم (RES). تُمثل هذه المنصة بيئة مفتوحة المصدر تتيح للمؤسسات إدارة مشاريع البحث والهندسة عبر واجهة ويب موحدة، وتسهل الوصول إلى أجهزة سطح المكتب الافتراضية والتطبيقات التفاعلية.
شمل التنبيه الأمني الإصدارات 2025.12.01 وما قبلها، حيث صُنفت هذه الثغرات ضمن المخاطر التي تستوجب الاستجابة السريعة نظراً لارتباطها المباشر بإدارة الجلسات وصلاحيات الوصول داخل البيئة السحابية. وتبرز أهمية هذا التحديث في حماية سلامة البيانات وضمان استمرارية العمليات البحثية والهندسية الحساسة التي تُدار عبر المنصة.
تفاصيل العيوب البرمجية وآليات الاستغلال الممكنة
ترتبط الثغرة الأولى CVE-2026-5707 بخلل في معالجة البيانات المدخلة بأسماء جلسات سطح المكتب الافتراضي؛ حيث يفتقر النظام لعملية تنقية المدخلات المستخدمة في أوامر النظام. يمنح هذا الخلل المستخدمين الحاصلين على صلاحية وصول موثقة قدرةً على تنفيذ أوامر عشوائية بصلاحيات الجذر على المضيف، وتتأثر بهذا السيناريو الإصدارات من 2025.03 حتى 2025.12.01.
أما الثغرة الثانية CVE-2026-5708، فتتعلق بضعف في التحكم بالسمات القابلة للتعديل عند إنشاء الجلسات؛ إذ يؤدي إرسال طلب API مهيأ بعناية إلى تمكين المهاجم من رفع امتيازاته ووراثة صلاحيات ملف تعريف مثيل المضيف. يترتب على ذلك قدرة المهاجم على التفاعل مع خدمات AWS الأخرى بشكل غير مصرح به، وذلك في كافة الإصدارات التي تسبق 2026.03.
تظهر الثغرة الثالثة CVE-2026-5709 ضمن واجهة FileBrowser API نتيجة وجود إدخال غير منقّى في النسخ المتراوحة بين 2024.10 و2025.12.01. تتيح هذه الثغرة للمستخدمين الموثقين تنفيذ أوامر برمجية عن بعد على مثيل EC2 المسؤول عن إدارة العنقود (Cluster Manager)، وذلك من خلال إرسال بيانات خبيثة عبر وظيفة متصفح الملفات.
تبرز خطورة هذه الثغرات في تقاطعها مع الوظائف الجوهرية للمنصة، وخصوصاً في جوانب إدارة الهوية والوصول والتحكم في الموارد السحابية الحساسة.
سبل المعالجة وإجراءات التخفيف المتاحة
أكدت شركة AWS معالجة كافة هذه الثغرات في الإصدار الجديد رقم 2026.03، وحثت المستخدمين على الانتقال الفوري إليه لضمان سلامة بيئاتهم التقنية. كما تلتزم المؤسسات التي تستخدم نسخاً معدلة من البرمجية بدمج التحديثات الأمنية الجديدة يدوياً، وذلك لحماية شفراتها المصدرية من المخاطر المذكورة.
وفرت الشركة كذلك خيارات تخفيف مؤقتة للجهات المتعثرة في التحديث السريع، وتتضمن هذه الحلول تطبيق تصحيحات يدوية منشورة عبر منصة GitHub. تركز هذه التصحيحات بشكل أساسي على سد منافذ حقن الأوامر في أسماء الجلسات وواجهة FileBrowser، بالإضافة إلى منع محاولات رفع الامتيازات عبر حقن ملفات التعريف، وذلك لضمان استمرارية العمل بأمان حتى إتمام عملية الترقية الشاملة.
