الثغرة الأمنية CVE-2026-5223 تهدد إدارة الحزم في لغة راست

كشف مجتمع تطوير البرمجيات عن ثغرة أمنية جديدة في مدير حزم "Cargo" الخاص بلغة راست، وهي ثغرة تصنف ضمن المخاطر التي تهدد سلاسل التوريد البرمجية. تتعلق المشكلة بكيفية تعامل البرنامج مع أنواع معينة من الملفات المضغوطة، مما يفتح الباب أمام التلاعب بالتعليمات البرمجية لمشاريع مختلفة. ويستهدف التقرير تحديداً كيفية معالجة الروابط الرمزية (symlinks) داخل الحزم المستوردة من مستودعات خارجية.

تكمن طبيعة الخطر في أن البرنامج، أثناء عملية بناء الحزم، يقوم باستخراج الشيفرات المصدرية وتخزينها في ذاكرة تخزين مؤقتة محلية. وقد أتاح الاكتشاف وجود ملف مضغوط خبيث، مصمم بطريقة معينة، أن ينجح في استخراج بياناته في مستوى أدنى من مجلد التخزين المؤقت المخصص للحزمة. هذا التجاوز في مسار الاستخراج سمح للحزمة الخبيثة بتجاوز وتعطيل الشيفرة المصدرية لحزم أخرى تنتمي إلى نفس المستودع.

ويشدد الخبراء على أن مستوى خطورة الثغرة يعتبر متوسطاً، خاصة للمستخدمين الذين يعتمدون على مستودعات الحزم غير الرسمية أو الخارجية. ويُشار إلى أن المستخدمين الذين يعتمدون على المستودع الرسمي للحزم (crates.io) بمنأى عن الخطر، لأن هذا المستودع يمنع مسبقاً تحميل أي حزمة تحتوي على روابط رمزية. علاوة على ذلك، أكدت التحليلات أن تأثير الثغرة قد يكون ضئيلاً في معظم الحالات، إذ أن وظائف التعبئة والنشر الأساسية في Cargo لا تتضمن إضافة هذه الروابط الرمزية.

ولتدارك هذا الخطر، أعلنت فرق الأمن المسؤولة عن تطوير إصدار تحديث رئيسي. من المتوقع أن يتضمن الإصدار Rust 1.96.0، المقرر إصداره في 28 مايو 2026، تحديثاً لـ Cargo يهدف إلى رفض استخراج أي رابط رمزي داخل أي حزمة مضغوطة، بغض النظر عما إذا كانت تأتي من المستودع الرسمي أو من مصادر طرف ثالث. وللمستخدمين الذين لا يستطيعون الترقية الفورية، يُنصح بتدقيق محتويات المستودعات التي يعتمدون عليها، وضبط إعدادات المستودع لرفض أي روابط رمزية ممكنة.

في الختام، يؤكد هذا التطور أهمية المراقبة المستمرة لأمن الأدوات الأساسية في بيئة التطوير، ويدعو المطورين إلى تحديث أدواتهم بشكل فوري عند توفر الإصدارات الأمنية الجديدة لضمان سلامة مشاريعهم البرمجية.