أدرجت مبادرة Zero Day Initiative، المعروفة اختصاراً بـ (ZDI) والتابعة لشركة Trend Micro، بلاغاً عن ثغرة أمنية جديدة في تطبيق Telegram، حيث منحتها المعرف ZDI-CAN-30207 مع درجة خطورة مرتفعة جداً تصل إلى 9.8 وفق مقياس CVSS العالمي لتقييم حدة الثغرات البرمجية.
يعود تاريخ الإبلاغ الرسمي إلى يوم الأربعاء 26 مارس 2026، وقد حددت المبادرة تاريخ 24 يوليو 2026 موعداً نهائياً للإفصاح الكامل عن التفاصيل، في حال عدم إصدار المطور معالجة تقنية أو استشارة أمنية قبل ذلك الحين.
وتوجد هذه الثغرة حالياً ضمن قائمة الانتظار لدى ZDI ولم تُدرج بعد في سجل الاستشارات الرسمية المنشورة، ما يعني عدم كشف التفاصيل التقنية الدقيقة للعلن حتى هذه اللحظة. وتقتصر المعلومات المتاحة حالياً على وجود بلاغ قيد المعالجة، دون توفر وصف لماهية الخلل أو الأجزاء المتأثرة داخل منظومة Telegram، سواء كانت تطبيقات الهواتف أو نسخ الحواسيب أو البنية البرمجية الخلفية.
تحليل متجهات الخطورة والموقف الرسمي لمنصة Telegram
يعتمد تقييم الخطورة المنشور في سجل ZDI على متجهات فنية تشمل رموزاً مثل AV:N وAC:L وPR:N وUI:N، وهي تشير من الناحية التصنيفية إلى إمكانية تنفيذ هجوم عن بعد عبر الشبكة دون الحاجة لتعقيدات تقنية كبيرة أو صلاحيات وصول مسبقة.
كما يوضح هذا التصنيف أن الهجوم المفترض لا يتطلب تفاعلاً من المستخدم، ويترتب عليه أثر مرتفع يمس سرية البيانات وسلامتها وتوافر الخدمة بشكل كامل. ورغم أن هذا التوصيف يحدد سقف المخاطر المحتملة، فإنه لا يقدم برهاناً ملموساً على طريقة التنفيذ الفعلية؛ وتظل الفرضيات التي تربط بين هذه الثغرة واستخدام الملصقات كوسيط للهجوم مجرد تكهنات تفتقر إلى الوصف الفني الرسمي.
من جانبه، صرح متحدث رسمي باسم Telegram بنفي الروايات المتداولة التي تتحدث عن وجود مسار لاستغلال الخدمة عبر ملصقات تالفة، مؤكداً أن كافة الوسائط التي ترفع إلى المنصة تمر بعمليات فحص دقيق على مستوى الخوادم قبل وصولها إلى تطبيقات المستخدمين ومعالجتها.
ويعزز هذا التصريح وجود طبقات حماية مسبقة تمنع تمرير ملفات ضارة، كما يلاحظ غياب أي تحديثات أمنية عاجلة أو سجلات إصدار جديدة من قبل Telegram تتعلق بهذا البلاغ حتى الآن، وهو وضع يضفي مزيداً من الغموض على طبيعة الحادثة الأمنية بانتظار الإفصاح التقني الكامل.
واقع التباين الفني ومستقبل الإفصاح عن الثغرة
يظهر في المشهد الحالي تباين واضح بين إدراج رسمي للثغرة في برنامج إفصاح أمني مرموق، وبين نفي قاطع من الشركة المطورة للتطبيق حول سيناريوهات الاستغلال المتداولة. والثابت حالياً هو وجود بلاغ أمني مسجل عالي الخطورة ضد Telegram لدى مبادرة ZDI، مع بقاء هذا البلاغ في مرحلة ما قبل النشر التقني الكامل.
وترفض الشركة بشكل صريح الربط بين الثغرة وطريقة الاستغلال عبر الوسائط، بينما تظل التفاصيل الدقيقة ونطاق التأثر الفعلي وإمكانية تطبيق الهجوم في بيئات العمل الحقيقية قضايا معلقة بانتظار الإفصاح الرسمي، أو صدور تحديثات برمجية لاحقة توضح حقيقة الأمر وحجم المخاطر الفعلية.
