دبي، الإمارات العربية المتحدة – كشف خبراء الأمن السيبراني عن وجود ثغرة أمنية حرجة في إضافة “WP Maps Pro” الشهيرة لمنصة ووردبريس، والتي تستخدم على نطاق واسع لإنشاء خرائط مخصصة لمواقع الويب. وتشير التقارير إلى محاولات نشطة لاستغلال هذه الثغرة لإنشاء حسابات إدارية خبيثة على المواقع المتأثرة، مما يعرض سلامة بيانات المستخدمين وبيانات المواقع للخطر.
تتيح إضافة WP Maps Pro، التي حققت أكثر من 15 ألف عملية بيع على منصة Envato Market، للمستخدمين دمج خرائط جوجل وOpenStreetMap مع ميزات متقدمة مثل العلامات وقوائم المواقع لتقديم تجربة تفاعلية. وتُستخدم هذه الإضافة غالباً كأداة لتحديد مواقع المتاجر وسهولة وصول العملاء إلى المعلومات اللازمة.
ثغرة خطيرة في WP Maps Pro تهدد أمن المواقع
تسببت ثغرة أمنية تحمل المعرف CVE-2026-8732، وتقييم خطورة 9.8 (CVSS)، في زيادة صلاحيات الوصول بشكل غير مصرح به. تمكّن هذه الثغرة المهاجمين غير المصادق عليهم من إنشاء مستخدم بامتيازات إدارية كاملة على الموقع المستهدف، مما يمنحهم القدرة على التحكم الكامل فيه.
تؤثر هذه المشكلة الأمنية على جميع إصدارات الإضافة قبل الإصدار 6.1.0، بما في ذلك هذا الإصدار. وقد تم إصلاح الثغرة في الإصدار 6.1.1 الذي طرحته الشركة المطورة.
آلية الاستغلال والأسباب الجذرية
تكمن المشكلة الرئيسية في ميزة “الدعم المؤقت” (temporary access) التي تهدف إلى السماح للموظفين الفنيين بالوصول إلى مواقع العملاء لأغراض الصيانة. ومع ذلك، فإن عملية تفعيل هذه الميزة تسمح للمستخدمين غير المصادق عليهم بتشغيل دالة “wpgmp_temp_access_support()” دون وجود فحوصات كافية، مما يفتح الباب أمام إنشاء حساب إداري.
وفقاً لخبراء شركة Wordfence، فإن إجراء “wpgmp_temp_access_ajax” تم تسجيله ضمن “wp_ajax_nopriv_” ولم يكن محميًا بآلية تحقق كافية (nonce check). بل كان يعتمد على “fc-call-nonce” الذي يظهر بشكل علني في كل صفحة عبر “wp_localize_script”، مما يجعل عملية التحقق غير فعالة كآلية للتحكم في الوصول.
هذا القصور يسمح للمهاجمين بتشغيل معالج “wpgmp_temp_access_support” مع قيمة “check_temp=false”. يؤدي ذلك، بحسب التقرير، إلى إنشاء مستخدم ووردبريس جديد بشكل غير مشروط بصلاحيات إدارية عبر “wp_insert_user()”. تتبعها خطوة إرسال رابط تسجيل دخول خاص، وعند زيارته، يتم استخدام “wp_set_auth_cookie()” لتسجيل دخول المهاجم بالكامل كمسؤول جديد، مما يؤدي إلى سيطرة كاملة على الموقع.
تحديثات وإجراءات وقائية
قامت الشركة المطورة للإضافة بإصدار تحديث في 20 مايو 2026، أغلق هذه الثغرة الأمنية من خلال ضمان حصر الوصول إلى نقطة النهاية المذكورة على المسؤولين المصادق عليهم فقط. ومع ذلك، فقد لوحظ أن الثغرة بدأت بالفعل بالتعرض للاستغلال النشط، حيث أفادت Wordfence بأنها تصدت لـ 2858 هجومًا يستهدف هذا الخلل خلال الـ 24 ساعة الماضية.
لذلك، يُعد تحديث جميع مواقع ووردبريس التي تستخدم إضافة WP Maps Pro إلى أحدث إصدار أمراً ضرورياً وحاسماً لضمان الحماية القصوى وتجنب المخاطر المحتملة المتعلقة بأمن المواقع وفقدان البيانات.