ثغرة Sentry CVE-2026-42354: تجاوز SAML SSO يهدد حسابات بنوك SAMA

في 8 مايو 2026، كشفت شركة Sentry عن ثغرة حرجة (CVE-2026-42354) بدرجة CVSS تبلغ 9.1 من 10 في تنفيذها لبروتوكول SAML SSO. الثغرة تسمح للمهاجم بالاستيلاء الكامل على أي حساب مستخدم عبر استخدام مزود هوية SAML خبيث، دون الحاجة لمعرفة كلمة المرور — وهذا يضع آليات تسجيل الدخول الموحد المعتمدة في كثير من بنوك SAMA تحت المجهر.

تفاصيل ثغرة CVE-2026-42354 في Sentry SAML SSO

تكمن الثغرة في الإصدارات من 21.12.0 إلى ما قبل 26.4.1 من Sentry. عند مصادقة المستخدم عبر مزود هوية SAML، تربط Sentry تأكيد SAML بحساب موجود داخلياً اعتماداً على عنوان البريد الإلكتروني الموجود في الـ assertion. المشكلة أن Sentry لا تتحقق بشكل صحيح من أصل مزود الهوية عبر المنظمات المختلفة على نفس النسخة، فيستطيع المهاجم إعداد IdP خبيث في منظمة يملكها، ثم إصدار assertion يحتوي بريد الضحية. النتيجة: ربط جلسة المهاجم بحساب الضحية ومنحه صلاحياته بالكامل.

لماذا تُعدّ هذه الفئة من الثغرات خطيرة على المؤسسات المالية

SAML SSO ليس مجرد أداة راحة — هو حجر الأساس لإدارة الهوية في معظم بنوك المملكة. عندما يفشل التحقق من ربط الهوية عبر المنظمات (Cross-Tenant Identity Validation)، تنهار سلسلة الثقة بأكملها. ثغرات مماثلة في GitLab، Citrix، وOkta خلال الأشهر الماضية تكشف نمطاً متصاعداً: مهاجمو APT والجهات المتقدمة باتوا يركّزون على طبقة الـ Identity Provider بدلاً من نقاط النهاية. وفقاً لتقارير WorkOS، فإن SAML شهد خمس ثغرات حرجة خلال أربعة أشهر فقط في 2026.

التأثير على المؤسسات المالية السعودية

بنوك SAMA ومزودو الخدمات المالية في المملكة يستخدمون Sentry على نطاق واسع لرصد أخطاء التطبيقات، ويربطونه عادة بمزودات هوية مؤسسية مثل Azure AD أو Okta. الاستيلاء على حساب Sentry لمسؤول هندسي يعني الوصول إلى لقطات استثناءات تحتوي توكنات API، أرقام معاملات، وأحياناً بيانات عملاء غير مُنقّحة (PII) — وهذا انتهاك مباشر لمتطلبات SAMA CSCC في الضابط 3.3.5 الخاص بإدارة الهوية والوصول، والضابط 3.3.6 الخاص بالمراقبة الأمنية، إضافة إلى متطلبات NCA ECC في المجال الفرعي 2-2 (إدارة الهويات والصلاحيات). كذلك يندرج التسريب المحتمل لبيانات شخصية تحت مظلة نظام حماية البيانات الشخصية PDPL وقد يستوجب الإبلاغ خلال 72 ساعة.

التوصيات والخطوات العملية

1. التحقق فوراً من إصدار Sentry: إن كان دون 26.4.1 (للنسخ المُستضافة ذاتياً self-hosted) قم بالترقية بشكل عاجل. مستخدمو Sentry SaaS تم تطبيق الإصلاح لديهم آلياً في 18 فبراير 2026.
2. مراجعة سجلات SAML للأشهر الستة الماضية بحثاً عن أي تأكيدات assertions قادمة من IdPs غير معروفة أو منظمات مشتركة، خاصة أحداث ربط الحساب (Account Linking Events).
3. تفعيل التحقق من نطاق البريد الإلكتروني (Email Domain Verification) ضمن إعدادات SAML لمنع ربط حسابات عبر منظمات لا تملك النطاق.
4. تطبيق مبدأ Zero Trust على بوابات SSO: لا تثق بأي IdP افتراضياً وافرض MFA إضافية على العمليات الحساسة حتى بعد المصادقة الموحدة.
5. تحديث سجل المخاطر (Risk Register) ومصفوفة الموردين لتشمل ثغرات الـ Identity Federation كفئة مستقلة، وربطها بضوابط NCA ECC 2-2-3.
6. إجراء اختبار اختراق متخصص في طبقة الهوية (Identity Layer Pen Test) يشمل سيناريوهات IdP الخبيث وSAML Replay.

الخلاصة

ثغرة CVE-2026-42354 ليست حادثة معزولة بل جزء من موجة استهداف منظومة الهوية الفيدرالية. المؤسسات المالية السعودية التي تعتمد على SAML SSO دون ضوابط تحقق متعددة الطبقات تعرّض نفسها لمخاطر استيلاء على حسابات إدارية حرجة، وانتهاكات تنظيمية مكلفة. التحرك الاستباقي لمراجعة بنية الهوية اليوم أرخص بكثير من التعامل مع حادثة غداً.

هل مؤسستك مستعدة؟ تواصل مع فريق فنترالينك لتقييم مجاني لمدى النضج السيبراني وفق SAMA CSCC وNCA ECC مع تركيز خاص على ضوابط إدارة الهوية والوصول.