يشهد قطاع الأمن السيبراني تهديدات متزايدة، حيث يتم حالياً استغلال ثغرة أمنية حرجة في إضافة WordPress الشهيرة “Everest Forms Pro” لتنفيذ أوامر برمجية عشوائية، مما يعرض مواقع الويب لخطر الاختراق الكامل. تستهدف هذه الثغرة، التي تم تصنيفها بالرمز CVE-2026-3300، كافة الإصدارات من الإضافة حتى النسخة 1.9.12.
تم رصد استغلال هذه الثغرة الأمنية الخطيرة من قبل جهات معادية، وذلك بهدف الوصول غير المصرح به إلى أنظمة مواقع الويب التي تستخدم إضافة Everest Forms Pro. تمكن المخترقون من خلال إرسال قيم مُعدة خصيصاً في حقول النماذج النصية من تنفيذ تعليمات برمجية خبيثة على الخادم.
ثغرة خطيرة في Everest Forms Pro
تؤثر الثغرة الأمنية، التي تحمل اسم CVE-2026-3300 وتصنيف خطورة 9.8، على كافة إصدارات إضافة Everest Forms Pro حتى الإصدار 1.9.12. وقد أصدر مطورو الإضافة تحديثاً بتاريخ 18 مارس 2026، يحمل الرقم 1.9.13، لسد هذه الفجوة الأمنية.
آلية عمل الثغرة
بحسب التقرير الصادر من شركة Wordfence المتخصصة في أمن WordPress، فإن الخلل يكمن في دالة process_filter() ضمن إضافة “Calculation Addon”. تسمح هذه الدالة بدمج قيم مدخلة من المستخدم مباشرة في شفرة PHP دون عملية تنقية أو تنسيق كافية، مما يفتح الباب أمام تنفيذ التعليمات البرمجية.
على الرغم من تطبيق دالة sanitize_text_field() على المدخلات، إلا أنها لا تقوم بتنسيق علامات الاقتباس المفردة أو أحرف سياق PHP الأخرى بشكل كامل. وهذا يسمح للمهاجمين غير المصرح لهم بحقن وتنفيذ أي شفرة PHP يرغبون بها على الخادم، وذلك عبر إدخال قيمة مُعدة في أي حقل نموذج نصي، وذلك عند استخدام ميزة “Complex Calculation” في النموذج.
تداعيات استغلال الثغرة
يمكن أن يؤدي الاستغلال الناجح لهذه الثغرة الأمنية إلى تمكين المهاجمين من تنفيذ تعليمات برمجية عشوائية على الخادم. ومن النتائج المحتملة لهذا الاختراق، إنشاء حسابات إدارية وهمية، نشر برامج ضارة (Web Shells)، وفتح ثغرات أخرى تسمح بالتوغل بشكل أعمق في الخادم وترسيخ وجود دائم.
وفقاً لشركة Wordfence، بدأت محاولات استغلال الثغرة منذ 13 أبريل 2026، وتمكنت الشركة من صد أكثر من 29,300 محاولة استغلال حتى الآن. وفي آخر 24 ساعة، تم رصد 16 محاولة هجوم. غالباً ما تتضمن حمولة الهجوم محاولات لإنشاء حساب إداري باسم “diksimarina” وعنوان بريد إلكتروني ([email protected]).
وقد صدرت محاولات الهجوم هذه من عناوين IP التالية: 202.56.2.126، 209.146.60.26، 15.235.166.18، 2402:1f00:8000:800::40db، و 185.78.165.153.
استغلال Stripe في هجمات Skimmer
يأتي هذا الكشف عن ثغرة Everest Forms Pro في وقت حذرت فيه شركة Sansec من حملات برمجية خبيثة متعددة. تتضمن هذه الحملات استغلال خدمة Stripe كخادم قيادة وتحكم (C2) أو كوجهة لتسريب البيانات، وذلك بهدف استغلال سمعة العلامة التجارية وتجاوز قواعد سياسة أمن المحتوى (CSP) وفلاتر الشبكة.
وفقاً لـ Sansec، فإن المهاجم يستخدم Stripe كبنية تحتية مجانية، وليس كوسيلة للاحتيال المالي. حيث توفر له Stripe قاعدة بيانات للكتابة لتخزين البطاقات المسروقة ونقطة استضافة للشفرة الخبيثة، وكل ذلك خلف نطاق موثوق به من قبل قواعد CSP وفلاتر الشبكة بشكل افتراضي.
تعتمد الحملة على Google Tag Manager (GTM) ونطاقات Stripe (googletagmanager.com و api.stripe.com)، وكلاهما يعتبر موثوقاً به ضمنياً من قبل المتاجر الإلكترونية. حيث يتم تحميل الشفرة الخبيثة من حاوية GTM ويتم تنفيذها على كل صفحة تقوم بتحميلها.
في صفحات الدفع الخاصة بمنصات Magento و Adobe Commerce، يتم استخلاص برنامج Skimmer مُشفر من حقل بيانات وصفية لحساب عميل Stripe (مثل “cus_TfFjAAZQNOYENR”). ثم يتم حفظ المعلومات المالية، وعناوين الفواتير والبريد الإلكتروني، وأرقام الهواتف التي يدخلها المستخدمون غير المدركين، في localStorage. بعد ذلك، يتم إرسال البيانات الملتقطة إلى حساب المهاجم في Stripe.
أوضح تقرير Sansec أن كل بطاقة مسروقة يتم تحويلها إلى “عميل” في حساب المهاجم. وعند نجاح عملية الإرسال، يتم حذف سجل localStorage لتجنب إرسال نفس المعلومة مرتين. يقوم المهاجم بسحب بيانات البطاقات المسروقة لاحقاً عن طريق استدعاء نفس واجهة برمجة التطبيقات (API) بنفس المفتاح. وبهذه الطريقة، تصبح قاعدة بيانات عملاء Stripe بمثابة مستودع تخزين مجاني ودائم للبيانات المسروقة.
يُعتقد أن سجل عميل Stripe الذي يحتوي على برنامج Skimmer قد تم إنشاؤه في 24 ديسمبر 2025، مما يشير إلى أن العملية ربما كانت نشطة منذ ذلك التاريخ. كما حددت Sansec نوعاً ثانياً من برامج التحميل يستخدم Google Firestore بدلاً من Stripe، على الرغم من أن الهدف النهائي يظل واحداً: إساءة استخدام خدمة موثوقة كقناة سرية يصعب على المتاجر الإلكترونية حظرها.
تتزامن هذه الاكتشافات مع عملية واسعة النطاق تحمل اسم “GorgonAgora”، والتي استخدمت مجموعة من 5,714 متجرًا وهميًا على امتداد .shop، انتحلت هوية علامات تجارية شهيرة مثل ستاربكس، وفورد، وسوني، وماتيل، وهسبرو، وليجو، وديزني، وتويوتا. وكانت صفحات الدفع الخاصة بهذه المتاجر تقوم بتوجيه بيانات البطاقات المسروقة إلى خادم Skimmer واحد في مولدوفا. وتستمر هذه الحملة منذ أغسطس 2025.
أفادت الشركة الهولندية بأن كل متجر يعمل بنفس حزمة التجارة الإلكترونية Medusa.js ويقوم بتحميل حزمة أدوات خاصة بالدفع (SDK) تقوم بعرض إطار Stripe وهمي وسحب بيانات البطاقات عبر WebSocket مشفر إلى خادم واحد في مولدوفا. ويتم تشفير عملية سحب البيانات باستخدام AES-256-GCM، ويقوم خادم القيادة والتحكم بإعادة توجيه أمان 3D Secure الحالي: فعندما يعود بنك الضحية بطلب مصادقة، يقوم المشغل بإعادة توجيهه إلى المتسوق عبر الإطار الوهمي، مما يسمح بإتمام المعاملة ويجعل عملية السرقة غير مرئية.