ثغرة Sentry SAML SSO الحرجة CVE-2026-42354: اختطاف حسابات بمعرفة البريد الإلكتروني فقط

كشف باحثون أمنيون في 8 مايو 2026 عن ثغرة حرجة في منصة Sentry لمراقبة الأخطاء والأداء، تحمل المعرّف CVE-2026-42354 بدرجة خطورة CVSS 9.1، تتيح للمهاجم اختطاف أي حساب مستخدم على المنصة بمجرد معرفة عنوان بريده الإلكتروني — دون الحاجة لكلمة المرور أو أي بيانات اعتماد أخرى.

كيف تعمل ثغرة SAML SSO في Sentry؟

تكمن الثغرة في آلية معالجة Sentry لاستجابات بروتوكول SAML SSO المستخدم للمصادقة الموحدة. عند تسجيل دخول المستخدم عبر مزوّد هوية SAML، يربط Sentry تأكيد SAML بحساب المستخدم الداخلي اعتماداً على عنوان البريد الإلكتروني الوارد في التأكيد. المشكلة أن Sentry لا يتحقق من أن مزوّد الهوية ينتمي فعلاً للمؤسسة التي يدّعي تمثيلها، مما يفتح باباً خطيراً للاستغلال.

يحتاج المهاجم لتنفيذ الهجوم إلى ثلاثة شروط فقط: التحكم بمؤسسة على نفس نسخة Sentry التي يستخدمها الضحية، وإعداد مزوّد هوية SAML خبيث مرتبط بتلك المؤسسة، ومعرفة البريد الإلكتروني للضحية. بعدها يصدر المهاجم تأكيد SAML يحتوي بريد الضحية، فيربط Sentry جلسة المهاجم بحساب الضحية تلقائياً دون أي تحقق إضافي.

الإصدارات المتأثرة ونطاق التعرّض

تطال الثغرة جميع إصدارات Sentry من النسخة 21.12.0 وحتى ما قبل 26.4.1، أي ما يزيد عن أربع سنوات من الإصدارات المتتالية. وبالنظر إلى أن Sentry تستخدمها أكثر من 100,000 مؤسسة حول العالم لمراقبة أخطاء التطبيقات وأداء الأنظمة — بما فيها مؤسسات مالية وتقنية كبرى — فإن نطاق التعرّض واسع للغاية. والجدير بالذكر أن هذه ليست الثغرة الأولى في آلية SAML لدى Sentry، إذ سبقتها ثغرة مشابهة بالمعرّف CVE-2026-27197 في وقت سابق من العام، مما يشير إلى نمط متكرر في ضعف التحقق من الهوية عبر البروتوكولات الموحدة.

لماذا تهدد هذه الثغرة المؤسسات المالية السعودية تحديداً؟

تعتمد كثير من المؤسسات المالية الخاضعة لرقابة مؤسسة النقد العربي السعودي (SAMA) على منصات مراقبة التطبيقات مثل Sentry ضمن بنيتها التحتية لتقنية المعلومات. اختراق حساب على Sentry لا يعني فقط الوصول لسجلات الأخطاء، بل قد يكشف عن معلومات حساسة تشمل: متغيرات البيئة وبيانات الاعتماد المضمّنة في سجلات الأخطاء، وبنية قواعد البيانات ونقاط الاتصال الداخلية، ومسارات واجهات API والمفاتيح السرية التي تظهر في تتبع الأخطاء، فضلاً عن بيانات العملاء التي قد تتسرب عبر رسائل الخطأ غير المفلترة.

يُلزم إطار SAMA CSCC المؤسسات المالية بتطبيق ضوابط صارمة لإدارة الهوية والوصول (IAM) ضمن نطاق التحكم 3-3، ويشترط التحقق المتعدد العوامل والفصل بين الصلاحيات. ثغرة من هذا النوع تتجاوز كل هذه الضوابط لأنها تستغل خللاً في البروتوكول نفسه وليس في إعدادات المستخدم. كما يتطلب إطار NCA ECC ضمن ضوابط إدارة الوصول التحقق من سلامة بروتوكولات المصادقة الموحدة بشكل دوري.

سيناريو هجوم واقعي على بنك سعودي

تخيّل أن مهاجماً يعرف أن بنكاً سعودياً يستخدم نسخة Sentry مستضافة ذاتياً. يُنشئ المهاجم مؤسسة على نفس النسخة باسم شركة وهمية، ثم يُعدّ مزوّد هوية SAML خبيث. بمجرد حصوله على البريد الإلكتروني لمهندس DevOps في البنك — وهو متاح غالباً عبر LinkedIn أو تسريبات سابقة — يصدر تأكيد SAML مزوراً ويحصل على وصول كامل لحساب المهندس. من هناك يصل المهاجم إلى سجلات أخطاء التطبيقات المصرفية، وربما يستخرج مفاتيح API أو بيانات اتصال قواعد البيانات الظاهرة في آثار الأخطاء، ليبدأ مرحلة التحرك الجانبي داخل الشبكة.

التوصيات والخطوات العملية

1. الترقية الفورية: حدّث Sentry إلى الإصدار 26.4.1 أو أحدث فوراً. إذا كنت تستخدم Sentry SaaS المُدارة (sentry.io)، فالترقية تتم تلقائياً، لكن تحقق من إصدارك عبر لوحة الإدارة.
2. تدقيق إعدادات SAML SSO: راجع جميع مزوّدي الهوية المرتبطين بنسخة Sentry لديك، واحذف أي مؤسسات أو إعدادات IdP غير معروفة أو غير مصرّح بها.
3. مراجعة سجلات الوصول: افحص سجلات تسجيل الدخول في Sentry للأشهر الستة الماضية بحثاً عن أي جلسات مشبوهة أو تسجيلات دخول من مزوّدي هوية غير متوقعين.
4. تقييد التسجيل المفتوح: عطّل إمكانية إنشاء مؤسسات جديدة على نسخة Sentry الخاصة بك إذا كانت مستضافة ذاتياً، لمنع المهاجمين من إنشاء موطئ قدم.
5. فلترة البيانات الحساسة: فعّل ميزات Sentry لتنقية البيانات الحساسة (Data Scrubbing) لضمان عدم ظهور كلمات مرور أو مفاتيح API أو بيانات عملاء في سجلات الأخطاء.
6. اختبار اختراق دوري لبروتوكولات SSO: أدرج اختبار بروتوكولات SAML وOIDC ضمن نطاق اختبارات الاختراق الدورية لمؤسستك، وليس فقط اختبار التطبيقات.

الخلاصة

تكشف ثغرة CVE-2026-42354 عن حقيقة مقلقة: أدوات المراقبة والتطوير التي نعتبرها بنية تحتية داعمة قد تتحول إلى نقطة اختراق رئيسية. بروتوكولات المصادقة الموحدة مثل SAML SSO ليست محصّنة بطبيعتها، بل تحتاج لتدقيق مستمر وتحقق متعدد الطبقات. المؤسسات المالية السعودية الملتزمة بمتطلبات SAMA CSCC وNCA ECC يجب أن تُدرج أدوات DevOps والمراقبة ضمن نطاق تقييم المخاطر السيبرانية، لا أن تتعامل معها كأدوات ثانوية خارج نطاق الحماية.

هل مؤسستك مستعدة؟ تواصل مع فريق فنترالينك لتقييم مجاني لمدى النضج السيبراني وفق SAMA CSCC، يشمل تدقيق بروتوكولات المصادقة الموحدة وأدوات DevOps.