أعلنت الوكالة الأمريكية للأمن السيبراني وأمن البنية التحتية (CISA) عن اكتشاف ثغرة أمنية عالية الخطورة في مكون Widget Factory Joomla Content Editor (JCE)، تم إدراجها في قائمة الثغرات المستغلة المعروفة، مما يشير إلى تعرضها للاستغلال الفعلي. تأتي هذه الخطوة في ظل تصاعد التهديدات السيبرانية التي تستهدف أنظمة إدارة المحتوى.
تتعلق الثغرة، التي تحمل المعرف CVE-2026-48907، بضعف في التحكم بالوصول، مما قد يسمح بتنفيذ تعليمات برمجية عشوائية. وقد أشارت CISA إلى أن هذا الضعف يمكن أن يتيح للمهاجمين غير المصادق عليهم تحميل وتنفيذ تعليمات برمجية PHP عبر إنشاء ملفات تعريف جديدة للمحرر.
ثغرة خطيرة في JCE تهدد مواقع Joomla
بحسب التفاصيل المنشورة، تكمن المشكلة في إضافة JCE Editor الخاصة بـ Joomla، والتي تمنح المهاجم القدرة على إنشاء ملفات تعريف للمحرر لمستخدمين غير مصادق عليهم. هذا يفتح الباب أمام رفع وتنفيذ أكواد PHP ضارة، مما يشكل خطراً كبيراً على سلامة مواقع الويب المبنية على Joomla.
ويشمل التأثير هذا الضعف إصدارات JCE من 1.0.0 إلى 2.9.99.4. وقد تم إصدار تحديث يغطي هذه الثغرة، وهو الإصدار 2.9.99.5، في 3 يونيو 2026. وقد أوضح مطورو Widget Factory، بحسب ملاحظات الإصدار، أن قيود الوصول غير الكافية سمحت للمستخدمين غير المصادق عليهم بتحميل ملفات تعريف المحرر.
لا توجد حالياً معلومات تفصيلية حول كيفية استغلال الثغرة في الواقع. وقد صدرت توجيهات للمؤسسات الفيدرالية المدنية التابعة للسلطة التنفيذية بتطبيق الإصلاحات اللازمة بحلول 19 يونيو 2026، وذلك لضمان تأمين أنظمتها.
هجمات متزايدة تستهدف مواقع WordPress
يأتي الكشف عن هذه الثغرة في وقت تتزايد فيه التقارير عن هجمات سلسلة التوريد التي تستهدف مواقع WordPress. فقد كشفت شركة Sansec عن حملة جديدة استهدفت أكثر من مليون موقع يستخدم إضافات WordPress شائعة مثل OptinMonster و TrustPulse و PushEngage. تضمنت هذه الهجمات حقن أكواد JavaScript خبيثة تهدف إلى إنشاء حسابات مسؤول خلفية وتثبيت إضافات تجسس.
في حملة أخرى، تم اكتشاف اختراق لمواقع WordPress بهدف إدخال إضافة وهمية باسم “Beloved PBN Entegrasyonu”. هذه الإضافة كانت تقوم بإرسال عنوان URL للموقع إلى واجهة برمجة تطبيقات خارجية تلقائياً عند تحميل كل صفحة، وحقن HTML أو JavaScript عشوائي في تذييل الصفحة.
لم تتضح بعد طريقة الاختراق المحددة لتلك المواقع. ومع ذلك، فقد أتاحت هذه الثغرة للمهاجمين الوصول إلى قواعد بيانات “wp_posts” وتفاعلت مع البرامج النصية عبر HTTP، مما منحهم القدرة على قراءة وكتابة أي ملف على نظام الملفات الخاص بالخادم دون الحاجة لأي مصادقة.
أكد الباحث في Sucuri، بوجا سريفاستافا، أن هذه البرامج الضارة تسمح للمهاجمين بتنفيذ عمليات مثل قراءة، كتابة، تعديل، أو حذف أي ملف على الخادم، وتصفح المجلدات، وتغيير أذونات الملفات، وإنشاء ملفات جديدة، بل وحتى تحميل ملفات من أجهزة المهاجمين. وهذا يمكن أن يؤدي إلى الإضرار بترتيب الموقع في نتائج البحث وعواقب وخيمة أخرى.