ثغرة ImageMagick الصفرية: خلل رفع الصور الذي يخترق ملايين الخوادم

نُشر في أبريل 7, 2026 · بواسطة ALGERIATECH Editorial

⚡ أبرز النقاط

تتيح ثغرة صفرية حرجة في ImageMagick (CVE-2026-25797) للمهاجمين تنفيذ التعليمات البرمجية عن بُعد على خوادم WordPress وLinux عبر رفع ملف صورة مُعدّ واحد. يوجد الإصلاح في الإصدار 7.1.2-15 لكنه لم يُصنّف قط كتحديث أمني، تاركاً معظم الخوادم على Ubuntu وAmazon Linux معرضة حتى 2027.

خلاصة: ينبغي لأي مؤسسة تشغّل WordPress أو تطبيقات ويب تعالج رفع الصور التحقق من إصدار ImageMagick وتطبيق التصحيح اليدوي فوراً، حيث فاتت التحديثات الأمنية التلقائية هذا الإصلاح الحرج.

اقرأ التحليل الكامل ↓

🧭 رادار القرار (المنظور الجزائري)

الأهمية بالنسبة للجزائر
عالي
▾

يشغّل WordPress جزءاً كبيراً من المواقع الجزائرية، ويستخدم كثير من مزودي الاستضافة المشتركة ImageMagick كمعالج صور افتراضي. أي موقع يقبل رفع الصور معرّض للخطر.

البنية التحتية جاهزة؟
لا
▾

تفتقر معظم بيئات الاستضافة الجزائرية إلى فحص آلي للثغرات في المكتبات على جانب الخادم، وتعتمد عمليات التصحيح غالباً على تحديثات مديرات الحزم الافتراضية التي فاتها هذا الإصلاح.

المهارات متوفرة؟
جزئي
▾

يوجد مسؤولو أنظمة في قطاع الاستضافة والمؤسسات الجزائرية، لكن الوعي بهذه الثغرة تحديداً وإجراءات التصحيح اليدوي لـImageMagick محدود.

الجدول الزمني للعمل
فوري
▾

الاستغلال النشط مؤكد. كل يوم تأخير يزيد خطر اختراق الخادم لأي موقع يعالج رفع الصور.

أصحاب المصلحة الرئيسيون
مزودو استضافة الويب، مشغلو التجارة الإلكترونية، مسؤولو المواقع الحكومية، أصحاب مواقع WordPress، فرق أمن تكنولوجيا المعلومات
▾

Assessment: مزودو استضافة الويب، مشغلو التجارة الإلكترونية، مسؤولو المواقع الحكومية، أصحاب مواقع WordPress، فرق أمن تكنولوجيا المعلومات.

نوع القرار
تكتيكي
▾

يتطلب هذا إجراءً تقنياً فورياً (تصحيح، تغييرات في الإعدادات) وليس تخطيطاً استراتيجياً طويل المدى.

خلاصة سريعة: ينبغي لكل مؤسسة جزائرية تشغّل WordPress أو أي تطبيق ويب يعالج رفع الصور التحقق من إصدار ImageMagick وتطبيق التصحيح اليدوي اليوم. يجب على مزودي الاستضافة المشتركة الذين يخدمون الشركات الجزائرية تدقيق جميع إعدادات الخوادم فوراً. لا تتطلب هذه الثغرة أي تعقيد لاستغلالها — رفع صورة واحدة يكفي لاختراق الخادم بالكامل.

الخلل الذي يحوّل الصور إلى أسلحة

يتم استغلال ثغرة صفرية حرجة في ImageMagick، مكتبة معالجة الصور الموجودة في كل مكان والمستخدمة من ملايين المواقع، لتحقيق تنفيذ التعليمات البرمجية عن بُعد على خوادم WordPress وLinux. اكتشفها باحثون في Octagon Networks باستخدام محرك التدقيق الذاتي pwn.ai، وتسمح الثغرة للمهاجمين بالسيطرة الكاملة على خادم ويب عبر رفع ملف صورة مُعدّ خصيصاً.

تستغل CVE-2026-25797 تقنية “magic byte shift” في خط معالجة ImageMagick. يدمج المهاجمون شفرة خبيثة داخل ملف .jpg يبدو عادياً، متنكرين بنصوص برمجية خطيرة كصور غير ضارة. عندما يفوّض ImageMagick مهام المعالجة إلى GhostScript، مفسر PostScript المثبت عادة، تحصل الحمولة المصممة على صلاحيات التنفيذ. تعمل الشفرة المحقونة بنفس أذونات تطبيق العرض، مما يمكّن من اختراق الخادم بالكامل.

لماذا 43% من الويب مكشوف

ImageMagick هي مكتبة معالجة الصور الافتراضية في WordPress، الذي يشغّل نحو 43% من جميع المواقع عالمياً. كما أنها مدمجة في تطبيقات الويب المخصصة ومنصات التجارة الإلكترونية وأنظمة توصيل المحتوى عبر بيئات Linux.

ناقل الهجوم بسيط بشكل مدمر. معظم المواقع تقبل رفع الصور — صور الملف الشخصي وصور المنتجات ومعارض الوسائط والصور الرمزية. كل نموذج رفع يصبح نقطة دخول محتملة. يمكن لرفع واحد مُعدّ أن يُعطّل خادماً بملء الذاكرة المؤقتة بأكثر من 1 تيرابايت من البيانات، مما يُسقط الموقع فوراً.

تأتي هذه الثغرة ضمن اتجاه أوسع في 2026 حيث تجاوز استغلال الثغرات التصيد الاحتيالي كطريقة أساسية للوصول الأولي. يفيد Cisco Talos أن نحو 40% من جميع الاختراقات في الربع الرابع 2025 جاءت عبر ثغرات برمجية مستغلة، وتُظهر بيانات VulnCheck أن 28.96% من الثغرات المستغلة المعروفة في 2025 تم تسليحها في يوم نشر CVE أو قبله.

أزمة التصحيح غير المرئية

أُضيف إصلاح إلى الإصدارين 7.1.2-15 و6.9.13-40 من ImageMagick في نوفمبر 2025، لكنه لم يُصنّف رسمياً قط كتحديث أمني. لم تُشر مديرات الحزم القياسية في Ubuntu وAmazon Linux وغيرها من التوزيعات الشائعة إلى التحديث كتحديث أمني حرج. النتيجة: الغالبية العظمى من الخوادم تبقى معرضة وستستمر كذلك حتى 2027 ما لم يتدخل المسؤولون يدوياً.

يمثل هذا فشلاً منهجياً في عملية الإفصاح الأمني مفتوحة المصدر. دون استشارة CVE رسمية عبر القنوات المعتادة، لا يمكن لماسحات الثغرات الإشارة تلقائياً إلى المشكلة. لدى ImageMagick تاريخ من الثغرات الحرجة، بما في ذلك سلسلة الاستغلال الشهيرة “ImageTragick” في 2016 — بعد عقد، تظل المكتبة متجذرة بعمق في البنية التحتية للويب رغم الحوادث الأمنية المتكررة.

لتفاقم المشكلة، تم الكشف عن عدة ثغرات CVE إضافية في ImageMagick خلال 2026، منها CVE-2026-28688 (heap-use-after-free) وCVE-2026-28691 وCVE-2026-25897 (تجاوز عدد صحيح حرج يتيح تنفيذ شفرة تعسفية على الأنظمة 32 بت).

خطوات التخفيف الفورية

ينبغي لمسؤولي الخوادم اتخاذ هذه الإجراءات الآن:

تحقق من إصدارك: شغّل `identify -version` على خادمك. أي إصدار أقدم من 7.1.2-15 (7.x) أو 6.9.13-40 (6.x) معرض للثغرة.
حدّث يدوياً: لا تنتظر التحديثات الأمنية التلقائية. حمّل وجمّع أحدث إصدار من ImageMagick مباشرة.
عطّل مفوّضات GhostScript: عدّل ملف `policy.xml` الخاص بـImageMagick لتعطيل معالجة GhostScript، مما يسد مسار الاستغلال الأكثر شيوعاً.
قيّد معالجة الملفات المرفوعة: طبّق التحقق على مستوى البايتات للملفات المرفوعة قبل تمريرها إلى ImageMagick.
فكّر في بدائل: مكتبات مثل libvips أو Pillow لديها أسطح هجوم أصغر بكثير لمعالجة الصور.
راقب السجلات: راجع سجلات الخادم بحثاً عن إنشاء عمليات غير اعتيادية بعد طلبات رفع الصور.

تابعوا AlgeriaTech على LinkedIn للتحليلات التقنية المهنية تابعوا على LinkedIn

تابعونا @AlgeriaTechNews على X للحصول على أحدث تحليلات التكنولوجيا تابعنا على X

الأسئلة الشائعة

كيف يعمل استغلال ثغرة ImageMagick الصفرية؟

يصنع المهاجمون ملفات صور خبيثة باستخدام تقنية “magic byte shift” التي تتنكر بنصوص برمجية خطيرة كصور عادية. عندما يعالج الخادم الصورة المرفوعة، يفوّض ImageMagick مهام معينة إلى GhostScript، الذي ينفذ الشفرة الخبيثة المدمجة بصلاحيات الخادم الكاملة. لا تتطلب CVE-2026-25797 أكثر من رفع صورة عادي لتحقيق تنفيذ التعليمات البرمجية عن بُعد.

لماذا لا تزال معظم الخوادم بلا تصحيح بعد أشهر من إصدار الإصلاح؟

أُدرج الإصلاح في إصداري ImageMagick 7.1.2-15 و6.9.13-40 في نوفمبر 2025، لكنه لم يُصنّف قط كتحديث أمني. لم تُشر مديرات الحزم القياسية في Ubuntu وAmazon Linux إليه كتحديث حرج، لذا تبقى الخوادم التي تعتمد التحديثات التلقائية معرضة. يلزم تدخل يدوي لتطبيق التصحيح.

ماذا ينبغي لأصحاب مواقع WordPress فعله الآن؟

شغّل `identify -version` للتحقق من إصدار ImageMagick، ثم حدّث يدوياً إلى أحدث إصدار. عدّل ملف `policy.xml` لتعطيل مفوّضات GhostScript، مما يسد مسار الاستغلال الأكثر شيوعاً. فكّر في الانتقال إلى مكتبات بديلة لمعالجة الصور مثل libvips ذات أسطح هجوم أصغر.