يمكن للقراصنة الآن السيطرة على مواقع ووردبريس على الفور من خلال ثغرة بسيطة في إحدى الإضافات، تتيح لهم الوصول إلى حساب المدير دون الحاجة إلى إدخال بيانات الاعتماد.

ثغرة أمنية خطيرة في إضافة ووردبريس شائعة تسمح للمهاجمين غير المصادق عليهم بالوصول إلى صلاحيات المدير دون الحاجة لتسجيل الدخول

كشفت شركة Cyfirma عن وجود ثغرة أمنية حرجة في أحد الإضافات الشهيرة لإدارة المستخدمين والعضويات على منصة ووردبريس، والتي تُعرف باسم “User Registration & Membership”. تؤثر هذه الثغرة على الإصدارات حتى الإصدار 5.1.2، وتسمح للمهاجمين غير المصدق عليهم بالتحايل على أنظمة التحقق والحصول على صلاحيات إدارية كاملة للموقع.

ما هي خطورة الثغرة؟

تتمثل خطورة الثغرة في أن المهاجمين يمكنهم استغلال قيم نونص (nonce) المكشوفة على واجهة المستخدم لتنفيذ طلبات خلفية غير مصرح بها، مما يؤدي إلى تصعيد الامتيازات ومنح أنفسهم صلاحيات المدير. بمجرد السيطرة على الصلاحيات، يمكن للمهاجمين تثبيت إضافات خبيثة، تعديل القوالب، أو حتى تنفيذ هجمات أكبر مثل توزيع برمجيات خبيثة، سرقة بيانات المستخدمين الحساسة، أو إنشاء حسابات مدير مخفية لضمان الوصول المستمر.

كيف يستغل المهاجمون الثغرة؟

يعتمد المهاجمون على استغلال البيانات المعرضة من جانب العميل، بالإضافة إلى ضعف التحقق من صحة الطلبات في الخلفية. إذ يتم إرسال طلبات بدون التحقق من مصدرها أو صلاحياتها، ويمكنهم إعادة استخدام قيم النونص في طلبات مصممة بشكل خاص لاستهداف نقطة النهاية في ووردبريس /wp-admin/admin-ajax.php. هذه الطلبات تتم معالجتها دون فحص كافٍ، مما يمنح المهاجمين فرصة لتسجيل أنفسهم كمديرين بشكل تلقائي.

ما هو تأثير ذلك على الموقع؟

بعد نجاح الهجوم، يحصل المهاجم على صلاحيات إدارية كاملة، مما يتيح له تنفيذ أي إجراءات على الموقع، من تركيب برمجيات خبيثة، وتعديل المحتوى، إلى إعادة توجيه الزوار لمواقع خادعة أو توزيع برمجيات ضارة. كما يمكنه إنشاء حسابات مدير وهمية، مما يصعب اكتشاف الاختراق وإزالته لاحقًا.

ما هو الحل؟

تم إصدار نسخة محدثة من الإضافة (الإصدار 5.1.3) تتضمن تحسينات في التحقق من الصلاحيات وإجراءات الأمان لمنع استغلال هذه الثغرة. ينصح بشدة بتحديث الإضافة فورًا إلى الإصدار الأخير، وفحص جميع حسابات المستخدمين، خاصة تلك ذات الصلاحيات العالية، والتأكد من عدم وجود حسابات غير مصرح بها. كما ينبغي إلغاء الجلسات المشبوهة وإعادة تعيين كلمات المرور عند الشك في تعرض الموقع للاختراق.

تصنيف الثغرة

تُقيّم هذه الثغرة في نظام تقييم CVSS بمعدل خطورة 9.8 من 10، مما يجعلها من الثغرات الحرجة التي تتطلب اهتمامًا فوريًا. وتظهر مناقشات في المنتديات المظلمة أن المهاجمين يتداولون حاليًا تقنيات استغلال هذه الثغرة، ويخططون لاستخدامها في عمليات استيلاء على صلاحيات إدارية وبيعها لشن هجمات فدية، أو تنفيذ حملات ترويج غير شرعية عبر تحسين محركات البحث، أو جمع بيانات اعتماد المستخدمين.

نصيحة للموقعين

نظرًا لسهولة استغلال هذه الثغرة ووعي المهاجمين بها، ينبغي على أصحاب المواقع التي تستخدم الإضافة المعنية أن يعطوا أولوية عالية لعملية التحديث والتصحيح. كما يُنصح بمراجعة الحسابات الحالية، خاصة الحسابات ذات الامتيازات الإدارية، وإلغاء أي جلسات غير موثوقة، وإعادة تعيين كلمات المرور، لضمان حماية الموقع من الاختراقات المحتملة.