اكتشاف ثغرة CVE-2026-46331 في نواة Linux، تمكن مستخدماً محلياً يمتلك حساباً محدود الصلاحيات من تصعيد امتيازاته إلى مستوى مدير النظام (root) على الأنظمة المصابة. ويكمن الخلل في وظيفة التحكم بحركة البيانات ضمن مسار act_pedit؛ إذ يتسبب خلل في آلية “النسخ عند الكتابة” في تلف الذاكرة المؤقتة للصفحات، ما يمهد لتعديل نسخة مخزنة مؤقتاً في الذاكرة لملف ذي صلاحيات مرتفعة دون تغيير الملف الأصلي المستقر على القرص الصلب.
أوضحت شركة Ubuntu أن هذا الخلل يرتبط بمنهجية احتساب نطاق الكتابة القابل للتعديل لمرة واحدة قبل المرور على مفاتيح التعديل، حيث يُغفل النظام حساب الإزاحة الفعلية بدقة أثناء وقت التنفيذ، مسبباً خروج جزء من نطاق الكتابة عن نطاق الحماية المفترضة. ويرتكز الإصلاح البرمجي على نقل عمليات فحص قابلية الكتابة لتنفذ مباشرة داخل حلقة المعالجة، مع تدعيم النظام بفحوصات إضافية لمنع الفيض العددي ومعالجة الإزاحات السالبة.
تصاعدت خطورة هذه الثغرة عقب نشر كود استغلال متاح للعامة على منصة GitHub تحت اسم PACKET_EDIT_MEME. ويعرض المستودع البرمجي طريقة تحويل هذا الخلل إلى ترقية محلية للصلاحيات عبر تعديل النسخة المخبأة في الذاكرة لملف التشغيل /bin/su، ثم تشغيله للاستحواذ على صلاحيات جذر الكاملة. كما يشير المستودع إلى أن الخلل يؤثر على إصدارات محددة بُنيت بناء على تعديل سابق، مؤكداً أن الحل الجذري قد دُمج بالفعل في إصدار لاحق من النواة.
ومن جهتها، صنفت شركة Red Hat الثغرة بدرجة خطورة “مهمة”، محذرة من إمكانية استغلالها بواسطة مستخدم محلي يمتلك حساباً نشطاً على النظام للحصول على صلاحيات مدير النظام، مع الإشارة إلى توفر مجموعة من المعالجات البرمجية واستمرار إطلاق التحديثات التكميلية. وعلى الجانب الآخر، تُظهر الصفحة الأمنية لشركة Ubuntu الثغرة بتصنيف أولوية “متوسطة”، ما يتطلب ضرورة الرجوع المستمر لصفحة المورد الرسمية للاسترشاد بها عند اتخاذ قرارات سد الثغرات داخل كل بيئة عمل.
وتبرز الأهمية البالغة لهذا الخلل في طبيعة تأثيره؛ إذ يتعذر استخدامه لفتح منفذ مباشر للهجمات عن بُعد، وإنما يرفع مستوى التهديد بشكل حرج بمجرد توفر وصول محلي محدود للنظام. وتتضاعف هذه المخاطر في الخوادم التي يتشاركها مستخدمون متعددون، أو البيئات التي تتيح مساحات أسماء غير متميزة الصلاحيات، وبعض الحاويات البرمجية الممنوحة قدرات شبكية كافية، حيث يمكن أن يتحول هذا النفاذ المحدود إلى سيطرة مطلقة على كامل النظام في حال غياب التحديثات الأمنية أو ضعف السياسات الرقابية المحلية.
ويندرج هذا التهديد تحت موجة أوسع من ثغرات تصعيد الصلاحيات المحلية التي استهدفت نواة Linux خلال عام 2026، والتي ارتبط كثير منها بمسارات إدارة الذاكرة والمكونات الهيكلية العميقة للنواة. ومع ذلك، فإن المراجعات الحالية للمصادر الرسمية لم تثبت حتى الآن رصد عمليات استغلال واسعة النطاق لهذه الثغرة في هجمات فعلية على أرض الواقع، كما لم تُدرج بعد ضمن قوائم الاستغلال المؤكدة بناء على النتائج الرسمية المتاحة. وبناء على ذلك، يتجسد التوصيف الأدق للموقف في أن أداة الاستغلال متاحة علناً، مما يرفع احتمالية التهديد العملي بشكل كبير داخل البيئات الرقمية التي تفتقر إلى التحديثات الفورية.
توصي الفرق الأمنية بضرورة ترقية النواة عبر القنوات الرسمية المعتمدة من الموردين، بالتوازي مع مراجعة الأنظمة التي توفر وصولاً محلياً لعدة مستخدمين، وتقليص الصلاحيات الفائضة عن الحاجة داخل الحاويات، بالإضافة إلى تقييم استخدام مساحات أسماء المستخدمين والامتياز الشبكي CAP_NET_ADMIN وفقاً لمتطلبات التشغيل الفعلية. ويتطلب الوضع أيضاً مراقبة دقيقة لأي أنشطة غير اعتيادية تهدف لتشغيل ملفات ذات صلاحيات مرتفعة أو التلاعب بمسارات التحكم في تدفق البيانات، مع منح الأولوية القصوى للخوادم المتاحة للمستخدمين الداخليين أو بيئات التطوير المشتركة.
