كشفت تقارير أمنية حديثة عن وجود ثغرة أمنية حرجة في إضافة شائعة الاستخدام لنظام ووردبريس، مما يعرض آلاف المواقع لخطر كبير على مستوى العالم. هذه الثغرة، التي تحمل المعرف CVE-2026-1492، تتيح للمهاجمين تجاوز عملية المصادقة بالكامل والدخول كمسؤول دون الحاجة لاسم مستخدم أو كلمة مرور.
تؤثر الثغرة على إضافة “User Registration & Membership” الخاصة بووردبريس، وتحديداً على جميع الإصدارات حتى 5.1.2. تم الإعلان عن تفاصيلها في 3 مارس 2026، وحصلت على تصنيف “حرج” ضمن مقياس CVSS v4.0، بجدارة 9.8.
ينبع السبب الرئيسي لهذه الثغرة من عدم التحقق السليم من المدخلات التي يتحكم بها المستخدم، بالإضافة إلى ضعف آليات التحقق من الصلاحيات داخل آلية معالجة الإضافة الخلفية.
من جهة أخرى، لا تتطلب عملية الاستغلال أي امتيازات خاصة، ولا تتطلب أي تفاعل من المستخدم، ويمكن تنفيذها عن بعد عبر الإنترنت.
قام باحثون من CYFIRMA بتحليل الثغرة، وأشاروا إلى أنها ترتكز على طريقة تعامل الإضافة مع الثقة بين الواجهة الأمامية والمكونات الخلفية للنظام.
تعتمد الإضافة على رموز أمنية تعرف بـ “nonces” مع تدفقات عمل تعتمد على AJAX لمعالجة طلبات العضوية. هذه الرموز تكون مضمنة في أكواد JavaScript على الصفحات العامة، مما يجعلها متاحة للجميع، حتى غير المسجلين.
من خلال استخراج هذه القيم، يمكن للمهاجم صياغة طلب خبيث يقوم بتنفيذ إجراءات ذات امتيازات مرتفعة، متجاوزاً المصادقة بشكل كامل.
مخاطر استغلال الثغرة الأمنية الحرجة في ووردبريس
تعد عواقب الاستغلال الناجح لهذه الثغرة وخيمة جداً.
بمجرد استغلال الثغرة، يحصل المهاجم فوراً على سيطرة إدارية كاملة على موقع ووردبريس المستهدف. يمكن له تثبيت أو تعديل إضافات، الوصول إلى بيانات المستخدمين المخزنة وسرقتها، تغيير محتوى الموقع، إنشاء حسابات مسؤولين مخفية، وزرع أبواب خلفية لتسهيل الوصول المستقبلي.
علاوة على ذلك، يمكن تحويل الموقع المخترق إلى منصة لإعادة توجيه الزوار إلى صفحات تصيد احتيالي أو مواقع نشر برمجيات خبيثة، مما يضع مستخدمي الموقع في خطر مباشر.
تظهر نشاطات في منتديات المهاجمين على الويب المظلم تفاوضاً ومشاركة لتقنيات استغلال الثغرة. قد يستخدم الوسطاء الأوليون للوصول هذه الثغرة للحصول على صلاحيات إدارية وبيع نقاط الدخول لأنشطة إجرامية أخرى مثل نشر برامج الفدية، سرقة بيانات الاعتماد، وعمليات سبام SEO.
تعكس هذه الاهتمامات النشطة أن التهديد حقيقي ويتطلب اهتماماً فورياً من مسؤولي المواقع.
آلية الاستغلال
تبدأ عملية الهجوم في بيئة يتم التأكد فيها من وجود الإضافة المعرضة للخطر وتعمل بشكل سليم.
يقوم المهاجم بإعداد بيئة الاختبار قبل استهداف الموقع الفعلي. يتم تحديد صفحة أسعار العضوية العامة كنقطة الدخول الرئيسية إلى الأنظمة الخلفية للموقع.
باستخدام أدوات المطور في المتصفح، يقوم المهاجم بفحص أكواد JavaScript على صفحة العضوية. يكشف هذا عن قيم الـ nonce وتفاصيل نقطة نهاية AJAX التي لم يكن ينبغي أن تكون متاحة بشكل عام.
بهذه القيم، يتم إرسال حمولة معدة مسبقاً إلى نقطة النهاية /wp-admin/admin-ajax.php. تقوم الخوادم بمعالجة الطلب دون التحقق من صلاحية المرسل.
بعد ذلك، يقوم الخادم بتسجيل دخول المهاجم وإعادة توجيه الجلسة إلى لوحة تحكم المسؤول في ووردبريس، دون استخدام أي بيانات اعتماد صالحة.
.webp.jpeg)
أهم إجراء يتمثل في تحديث إضافة “User Registration & Membership” فوراً إلى الإصدار 5.1.3، حيث تم إصلاح الثغرة.
بعد التحديث، يجب مراجعة جميع الحسابات الإدارية، وإزالة أي حسابات تم إنشاؤها دون صلاحيات مناسبة. يجب إلغاء الجلسات المرتبطة بالحسابات المشبوهة، وإعادة تعيين بيانات الاعتماد غير المعروفة على الفور.
كما ينبغي على المؤسسات فرض تحقق صارم من جانب الخادم لجميع المدخلات المقدمة من المستخدم، خاصة القيم المرتبطة بتعيين الأدوار. يجب التحكم بدقة في الوصول إلى نقاط النهاية الحساسة مثل /wp-admin/admin-ajax.php، ويجب عدم كشف الرموز الأمنية الداخلية مطلقاً في الصفحات المتاحة للجمهور.
يجب تطبيق مبدأ الحد الأدنى من الامتيازات على جميع أدوار المستخدمين، مع البقاء على المراقبة المستمرة لطلبات AJAX غير الطبيعية أو تصاعد الامتيازات غير المتوقع.