أصدرت شركة IBM، في الحادي والثلاثين من مارس 2026، نشرة أمنية موسعة لمعالجة مجموعة من الثغرات البرمجية في منصتي IBM Verify Identity Access وIBM Security Verify Access. وتُعد هذه المنصات ركائز أساسية تعتمد عليها المؤسسات في إدارة الهوية والتحكم في الوصول (IAM).
شملت التحديثات الإصدارات التي تعمل في مراكز البيانات المحلية، إضافة إلى الإصدارات المعتمدة على تقنية الحاويات (Containers). وتنوعت طبيعة المخاطر المرصودة لتشمل مسارات التوثيق، وتنفيذ الأوامر البرمجية غير المصرح بها، وحقن الأوامر، ورفع الامتيازات، فضلاً عن مشكلات فنية في معالجة الطلبات عبر الوكيل العكسي (Reverse Proxy) ومكونات برمجية مقدمة من جهات خارجية.
حددت الشركة بدقة الإصدارات المتأثرة، حيث ضمت القائمة IBM Verify Identity Access Container من الإصدار 11.0 حتى 11.0.2، وIBM Security Verify Access Container من الإصدار 10.0 وصولاً إلى 10.0.9.1. كما شمل التأثير الإصدارات المحلية من كلا المنتجين ضمن النطاقات البرمجية ذاتها.
وجهت IBM دعوة للمؤسسات بضرورة الانتقال الفوري إلى الإصدارات المصححة، وهي IBM Verify Identity Access v11.0.2 IF1 وIBM Security Verify Access v10.0.9.1 IF1 للأنظمة المحلية، مع توفر تحديثات مخصصة لبيئات الحاويات. وأكدت الشركة غياب أي حلول بديلة أو إجراءات تخفيفية مؤقتة يمكن أن تعوض عن تثبيت هذه التحديثات الأمنية لضمان سلامة الأنظمة.
تحليل الثغرات عالية الخطورة وتأثيرها التقني
تصدرت الثغرة ذات الرمز CVE-2023-46233 قائمة التهديدات بتقييم خطورة مرتفع بلغ 9.1 من 10. تتعلق هذه الثغرة بمكتبة “crypto-js”، وهي مجموعة أدوات برمجية تُستخدم في اشتقاق المفاتيح المعروفة باسم PBKDF2. وتكمن المشكلة في اعتماد هذه الآلية على إعدادات افتراضية ضعيفة تستخدم خوارزمية SHA-1 مع عدد تكرارات منخفض، ما يؤدي إلى ضعف حماية كلمات المرور والتواقيع الرقمية.
يوفر الإصدار 4.2.0 من المكتبة معالجة جذرية لهذه المشكلة. وفي حال تعذر التحديث الفوري، تشير التوصية التقنية إلى ضرورة رفع مستوى الأمان عبر استخدام خوارزمية SHA-256، مع زيادة عدد التكرارات إلى 250 ألف تكرار كحد أدنى.
كما كشفت النشرة عن الثغرة CVE-2026-1346 التي نالت درجة خطورة 9.3؛ إذ تسمح لمستخدم يمتلك صلاحيات وصول محلية برفع امتيازاته إلى مستوى الجذر (root)، وهو أعلى مستوى تحكم في النظام. ويعود ذلك إلى تشغيل بعض المكونات بصلاحيات تتجاوز الحاجة الفعلية داخل بيئة IBM Security Verify Access Container.
وارتبطت بها الثغرة CVE-2026-1342 بتقييم 8.5، والتي تتيح تنفيذ نصوص برمجية خارج النطاق المحدد للسيطرة. كما رصدت النشرة الثغرة CVE-2026-4101 بدرجة 8.1، وتكمن خطورتها في إمكانية تجاوز آليات التوثيق والوصول إلى التطبيق بشكل غير قانوني تحت ظروف تحميل معينة. تكتسب هذه الثغرات أهمية قصوى لكونها تمس طبقة التحكم المركزية في الهوية داخل البنى التحتية للمؤسسات.
أمن الشبكات وتكامل سلاسل الإمداد البرمجية
أما فيما يخص الهجمات المرتبطة بطلبات الشبكة، فقد رصدت الشركة الثغرة CVE-2026-1345 بدرجة 7.3؛ حيث تُمكّن المستخدمين غير الموثقين من تنفيذ أوامر بامتيازات محدودة نتيجة ضعف في فحص المدخلات البرمجية. كما أدرجت النشرة الثغرة CVE-2026-1343 بتقييم 7.2، وهي من نوع “تزوير الطلبات عبر الخادم” (SSRF)، وتسمح بالوصول إلى نقاط توثيق داخلية يُفترض حمايتها خلف الوكيل العكسي.
تضمنت المعالجات أيضاً الثغرتين CVE-2026-2862 وCVE-2026-1491 بتقييم 5.3، واللتين تنشآن عن تفسير غير متسق لطلبات HTTP، مما قد يؤدي إلى كشف معلومات حساسة. بالإضافة إلى ذلك، تم إصلاح الثغرة CVE-2026-2475 من نوع “التوجيه المفتوح” (Open Redirect) المصنفة بدرجة 3.1، والتي تُستخدم عادةً في محاولات الخداع الإلكتروني.
لم تقتصر التحديثات على الشيفرة البرمجية الخاصة بشركة IBM، بل امتدت لتشمل مكونات خارجية مدمجة؛ حيث برزت الثغرة CVE-2026-1188 المرتبطة بمكون Eclipse OMR بدرجة خطورة بلغت 9.8. كما شملت المعالجة أربع ثغرات في بيئة Java SE وهي: CVE-2026-21945، وCVE-2026-21932، وCVE-2026-21933، وCVE-2026-21925، وتقع تقييماتها بين 4.8 و7.5 درجة.
يوضح هذا التكامل اعتماد المنتجات على سلاسل إمداد برمجية متنوعة، حيث ترتبط التحديثات الأمنية لـ IBM مباشرة بإصدارات الموردين الأساسيين، مثل شركة Oracle. وتؤكد هذه الإجراءات ضرورة الإدارة الدقيقة للثغرات في أنظمة الهوية، نظراً لدورها الحيوي في حماية الأصول الرقمية، وضبط الصلاحيات، وضمان سلامة عمليات التوثيق داخل المؤسسات الحديثة.
