كشفت شركة الأمن السيبراني runZero عن سبع ثغرات أمنية جديدة في مكتبة FatFs، وهي مكتبة برمجية مدمجة مخصصة لقراءة وكتابة أنظمة الملفات FAT وexFAT على وسائط التخزين القابلة للإزالة، مثل بطاقات SD وذواكر USB. وترجع الخطورة العالية لهذه الثغرات إلى الاعتماد الواسع على هذه المكتبة في البرامج الثابتة لملايين الأجهزة المدمجة، والتي تشمل كاميرات المراقبة، والطائرات بدون طيار، والمتحكمات الصناعية، وأجهزة الصراف الآلي.
| المعرف CVE | الشدة (CVSS) | وصف مختصر |
|---|---|---|
| CVE-2026-6682 | 7.6 (عالية) |
تجاوز سعة العدد الصحيح عند تحميل وحدة تخزين FAT32، قد يؤدي إلى تنفيذ تعليمات برمجية عن بُعد. |
| CVE-2026-6687 | 7.6 (عالية) |
فيض في المخزن المؤقت عبر حقل تسمية وحدة تخزين exFAT خبيث. |
| CVE-2026-6688 | 7.6 (عالية) | أسماء ملفات طويلة تتجاوز مساحة المخزن المؤقت في الأكواد المغلفة للمكتبة. |
| CVE-2026-6685 | 6.1 (متوسطة) | خطأ رياضي في إدارة الذاكرة المخبئية على الأجزاء المجزأة. |
| CVE-2026-6683 | 4.6 (متوسطة) | خطأ القسمة على صفر في نظام exFAT يؤدي إلى تعطل الجهاز. |
| CVE-2026-6686 | 4.6 (متوسطة) | توسيع حجم ملف بعد نهايته قد يتسبب في تسريب بيانات من ملفات محذوفة. |
| CVE-2026-6684 | 4.6 (متوسطة) |
جدول أقسام GPT خبيث يوقف الجهاز مؤقتًا أثناء التحميل (تم إصلاحه في الإصدار R0.16). |
وتتطلب غالبية مسارات الهجوم المتاحة وصولاً مادياً مباشراً إلى الجهاز المستهدف، مثل إدخال بطاقة SD أو ذاكرة USB معدة خصيصاً لهذا الغرض. ومع ذلك، أوضحت runZero أن الثغرتين CVE-2026-6682 وCVE-2026-6683 يمكن استغلالهما عن بُعد عبر آليات تحديث البرامج الثابتة، وتحديداً عندما يقوم الجهاز بتحميل صورة التحديث غير الموثقة والتحقق من سلامتها في مرحلة لاحقة، ما يوسع نطاق التهديد في البيئات التقنية التي تفتقر إلى تحديثات موقعة رقمياً.
ويزداد الموقف تعقيداً نتيجة غياب آلية تصحيح مركزية لمعظم هذه الثغرات، إذ حاولت runZero التواصل مراراً مع المطور الرئيسي للمكتبة وأبلغت مركز التنسيق الياباني JPCERT/CC، دون الحصول على استجابة فعالة. ولا يعالج الإصدار الحالي FatFs R0.16 سوى ثغرة CVE-2026-6684 المتعلقة بجدول الأقسام، بينما تظل بقية الثغرات دون حل رسمي، الأمر الذي ينقل مسؤولية المعالجة إلى مصنعي الأجهزة المعتمدين على هذه المكتبة في تطوير منتجاتهم. وتتأثر بهذه العيوب منصات معروفة عديدة منها: Espressif ESP-IDF، وSTM32Cube، وZephyr، وMicroPython، وArduPilot، وRT-Thread، وMbed، وSamsung TizenRT، بالإضافة إلى أداة التحديث SWUpdate.
ويأتي توقيت هذا الكشف ليعكس الدور المتنامي للذكاء الاصطناعي في مجالات فحص البرمجيات واكتشاف العيوب الأمنية؛ حيث اعتمد باحثو runZero على أدوات مدعومة بمساعد GitHub Copilot لتوليد برنامج فحص آلي (fuzzer)، ساعد في كشف ثغرات لم يرصدها التدقيق اليدوي الذي أجرته الشركة نفسها عام 2017. وتؤكد هذه النتيجة سهولة العثور على العيوب البرمجية في الوقت الراهن، لتنضم إلى سلسلة نجاحات سابقة، مثل رصد ثغرة في SQLite بواسطة أداة Big Sleep من Google، واكتشاف 21 ثغرة في FFmpeg عبر أداة مستقلة أخرى.
ورغم عدم رصد هجمات نشطة تستغل هذه الثغرات حتى تاريخ الإفصاح في 1 يوليو 2026، فإن شركة runZero نشرت أدوات إثبات المفهوم (PoC) ووسائط تخزين تجريبية خبيثة في مستودع مفتوح المصدر لمساعدة المطورين على اختبار أنظمتهم، وهو ما يمنح المهاجمين في الوقت ذاته مساراً واضحاً للاستغلال. وبناء على ذلك، توصي الشركة المصنعين بمراجعة الشيفرات المغلفة للمكتبة في منتجاتهم، ومراقبة قنوات التحديث باعتبارها سطح هجوم حساس، مع ضرورة الاستعداد لإصدار تحديثات عاجلة حال رصد أي استغلال فعلي.









