شهدت أكثر من 100 ألف موقع إلكتروني يعتمد على ووردبريس مخاطر أمنية جسيمة نتيجة وجود ثغرة خطيرة في إضافة “Advanced Custom Fields: Extended”. وتسمح هذه الثغرة، والتي تحمل المعرف CVE-2025-14533، للمهاجمين غير المصرح لهم بالوصول إلى مستويات إدارية كاملة على المواقع المتأثرة، مما يهدد بتولي السيطرة الكاملة عليها.
تم اكتشاف الثغرة، التي تم تصنيفها بدرجة “حرجة” (9.8 من 10 على مقياس CVSS)، في الإصدارات حتى 0.9.2.1 من الإضافة. وتكمن المشكلة الأساسية في طريقة تعامل الإضافة مع نماذج تسجيل المستخدمين وإدارة الأدوار المخصصة.
ثغرة خطيرة في إضافة ووردبريس تهدد أكثر من 100 ألف موقع
يعود السبب الرئيسي وراء هذه المخاطر الأمنية إلى الطريقة التي تعالج بها الإضافة، والمعروفة باسم “Advanced Custom Fields: Extended”، عملية إنشاء المستخدمين عبر النماذج المخصصة. تسمح هذه الخاصية لمديري المواقع بإنشاء نماذج تسجيل أو تحديث ملفات شخصية، تتضمن حقولاً لجمع بيانات مثل اسم المستخدم، البريد الإلكتروني، كلمة المرور، ودور المستخدم.
في الوضع الطبيعي، ينبغي أن يتم التحكم بشكل صارم في الأدوار المتاحة للمستخدمين الجدد، عادةً ما يقتصر ذلك على الأدوار الأساسية مثل “مشترك”. ومع ذلك، في الإصدارات المتأثرة بالثغرة، يتم كسر هذا التحكم، مما يفتح الباب أمام استغلال غير مشروع.
آلية الاستغلال وصلاحيات المسؤول
كشف محللو Wordfence أن الإجراء الخاص بإنشاء المستخدمين داخل الإضافة (insert_user) لا يقوم بتقييد الأدوار التي يمكن تعيينها بشكل صحيح عند وجود حقل مخصص لدور المستخدم. هذا يعني أن المهاجم يمكنه إرسال طلب معد بشكل خاص لتحديد دور “مسؤول” (administrator) لنفسه، حتى لو بدا النموذج على الواجهة أنه يقتصر على خيارات أخرى.
بمجرد معالجة هذا الطلب، يتم إنشاء حساب للمهاجم بصلاحيات إدارية كاملة على الموقع. بعد الوصول إلى هذه الصلاحيات، يمكن للمهاجم السيطرة التامة على تثبيت ووردبريس المتأثر. يمكن للمهاجمين تحميل إضافات أو قوالب ضارة تحتوي على أبواب خلفية مخفية، تغيير محتوى الموقع لإعادة توجيه الزوار إلى مواقع تصيد أو برامج ضارة، أو زرع محتوى غير مرغوب فيه بهدف تحسين محركات البحث (SEO poisoning).
ونظراً للانتشار الواسع للإضافة وسهولة استغلال الثغرة عند وجود نموذج تسجيل معرض للجمهور، فإن تأثيرها يظل كبيراً جداً على أي موقع قام بتعريض وظيفة إنشاء المستخدم هذه للإنترنت العام.
في وقت الكشف عن الثغرة، أصدر المطورون تحديثاً سد هذه الفجوة في الإصدار 0.9.2.2. كما قامت شركات الأمن السيبراني بإصدار حمايات لمنع محاولات الاستغلال على مستوى جدار الحماية.
ومع ذلك، فإن المواقع التي لم تقم بالتحديث وتعتمد فقط على الدفاعات على مستوى التطبيق تظل هدفاً جذاباً للمهاجمين الذين يبحثون بشكل روتيني عن نماذج تسجيل المستخدمين ذات التكوين الخاطئ.
تم تحديد هذه الثغرة (CVE-2025-14533) ونشر تفاصيلها، مما يسلط الضوء على الحاجة الملحة لمديري المواقع لتحديث إضافاتهم لضمان حماية من الهجمات الإلكترونية.