نظام الحزم Cargo يواجه ثغرة أمنية جديدة تهدد بيانات المستخدمين

كشف باحثون عن خلل أمني في مدير حزم Rust المسمى Cargo، وهي ثغرة تُصنف تحت المعرف CVE-2026-5222. تتطلب هذه الثغرة ظروفًا تقنية دقيقة ومحددة للغاية لتنفيذ الهجوم، لكنها تشكل خطرًا محتملاً على البنية التحتية لتطوير البرمجيات المعتمدة على لغة Rust. يُركز هذا التحذير على كيفية تعامل النظام مع عناوين الويب الخاصة بمستودعات الحزم الخارجية، مما يفتح الباب أمام سيناريوهات اختراق معقدة.

تكمن المشكلة الأساسية في آلية تطبيع عناوين الموارد (URL normalization) داخل Cargo. تقليديًا، كان النظام يتعامل مع مستودعات الحزم عبر التخزين في مستودعات Git، وكانت معظم خدمات الاستضافة تسمح بالوصول إلى المستودع سواء أُضيفت إليه لا لاحقة `.git` أو بدونها. وقد قام Cargo بتقليد هذا السلوك عند معالجة الروابط، وهو ما أدى إلى تطبيق نفس المنطق الخاطئ على مفهوم "الفهارس المتناثرة" (sparse indexes) الأحدث. هذا السلوك سمح للنظام بربط عناوين ويب مختلفة ظاهريًا، مثل تلك التي تنتهي بـ `.git` وتلك التي لا تنتهي به، تحت نفس الإطار المرجعي.

تستغل الثغرة المذكورة التباين في كيفية تعامل الخوادم مع عناوين الويب. فإذا أمكن لمهاجم نشر حزم برمجية في مستودع معين، فإنه يمكنه أيضًا رفع ملفات عشوائية إلى مسار آخر مرتبط بهذا المستودع. وفقًا للتحليل الفني، يمكن للمهاجم تهيئة أحد هذه المسارات الثانوية ليتطلب مصادقة خاصة عند التنزيل، وتوجيه عناوين التنزيل لتسجيل أي بيانات اعتماد يتم إدخالها. وعندما يقوم المهاجم بنشر حزمة تحتوي على اعتمادية من هذا المستودع المزيف، ويخدع المبرمج الضحية لتنزيل هذه الحزمة، فإن Cargo سيعتقد خطأً أن كلا المستودعين يشاركان في نفس بيانات الاعتماد، مما يؤدي إلى إرسال رمز التوكن (token) السري الخاص بالمستخدم إلى الخادم الخبيث.

للتخفيف من هذا الخطر، أعلنت فرق التطوير عن خطة تحديث مهمة. من المقرر أن يتم إصدار الإصدار 1.96 من Rust، والذي سيقوم بتعديل سلوك Cargo بحيث يقتصر حذف اللاحقة `.git` على البروتوكول الخاص بـ Git فقط. تجدر الإشارة إلى أن هذه الثغرة تؤثر على جميع إصدارات Cargo التي تم إصدارها بين مرحلة استقرار الفهارس المتناثرة في Rust 1.68 والإصدار 1.96. وعليه، يُنصح بشدة بأن يقوم جميع المطورين والمؤسسات بتحديث أدواتهم إلى الإصدار الأحدث فور توفره لضمان الحماية الكاملة.

إن التعامل الفوري مع مثل هذه الثغرات الأمنية التقنية يظل أمرًا بالغ الأهمية في بيئة تطوير البرمجيات المتسارعة، ويؤكد على ضرورة أن يلتزم المطورون بتحديث أدواتهم بشكل دوري لمواجهة التهديدات السيبرانية المتطورة.