شهدت إضافات ووردبريس موجة جديدة من الثغرات الأمنية خلال شهر آب الحالي، أثرت على أكثر من 2 مليون موقع حول العالم، وتفاوتت خطورة هذه الثغرات بين اختراق قواعد البيانات وحذف الملفات بشكل عشوائي.
ثغرة خطيرة في إضافة Tutor LMS Pro
اكتشفت ثغرة خطيرة في إضافة Tutor LMS Pro التعليمية الشهيرة، بتقييم خطورة بلغ 8.8 من 10، وتُمكن هذه الثغرة المهاجمين من تنفيذ هجمات حقن قواعد بيانات ووردبريس SQL، حيث تأثرت جميع إصدارات الإضافة حتى الإصدار رقم 3.7.0 بهذه الثغرة، لذا يجب تحديث الإضافة فورًا إلى الإصدار 3.7.1 أو الأحدث.
3 إضافات لإدارة الملفات تهدد 1.3 مليون موقع
تم الكشف عن ثغرة خطيرة في ثلاث إضافات شهيرة لإدارة الملفات في ووردبريس، تؤثر على ما يقارب 1.3 مليون موقع، وتعود المشكلة إلى استخدام إصدار قديم من مكتبة elFinder، مما يفتح المجال لتنفيذ هجمات "تجاوز الدليل" Directory Traversal وحذف ملفات حساسة.
الإضافات المتأثرة هي:
- File Manager (أكثر من مليون تثبيت)
- Advanced File Manager (أكثر من 200 ألف تثبيت)
- File Manager Pro – Filester (أكثر من 100 ألف تثبيت)
وأخطر ما في هذه الثغرة أنه يمكن استغلالها دون الحاجة لتسجيل الدخول، مما يرفع مستوى التهديد بشكل كبير.
70 ألف موقع مستهدف بسبب إضافة لنماذج التواصل
كُشف أيضًا عن ثغرة في إضافة Database for Contact Form التي تُستخدم لحفظ مدخلات نماذج التواصل من إضافات النماذج الشهيرة مثل Contact Form 7, WPforms أو حتى نماذج اليمينتور Elementor، وتؤثر على أكثر من 70,000 موقع، حيث تتيح الثغرة للمهاجم تنفيذ هجمات حقن كائنات PHP Object Injection دون الحاجة إلى تسجيل الدخول.
الخطورة تتضاعف إذا تزامن استخدام الإضافة مع Contact Form 7، إذ قد يسمح ذلك بحذف ملفات النظام مثل wp-config.php، ما يؤدي إلى توقف الموقع أو تسريب بيانات حرجة.
الإصدار المتأثر من الإضافة هو 1.4.3، ويُنصح بالتحديث الفوري إلى الإصدار 1.4.5.
لمنع استغلال كل هذه الثغرات، نوصى دائمًا بتحديث الإضافات إلى آخر إصدار متاح فورًا، والالتزام بإجراءات وممارسات الأمان اللازمة، حيث يجب على الأقل استخدام إضافة حماية متقدمة وضبط إعداداتها بشكل صحيح.
