كشفت ثغرة أمنية خطيرة في إضافة “LA-Studio Element Kit for Elementor” الشهيرة لمواقع ووردبريس، والتي يستخدمها أكثر من 20 ألف موقع نشط، عن وجود باب خلفي (backdoor) يسمح بإنشاء حسابات مسؤولين دون الحاجة لأي مصادقة. هذه الثغرة، التي تحمل المعرف CVE-2026-0920، تصنف كتهديد حرج بدرجة 9.8 على مقياس CVSS، مما يعني أنها تتطلب إجراءات عاجلة من مديري المواقع لحماية أصولهم الرقمية.
لقد تم اكتشاف هذه الثغرة التي تسمح بإنشاء حسابات إدارية خبيثة بواسطة باحثين أمنيين، وأدت إلى وضع آلاف المواقع الإلكترونية في خطر الاستيلاء الكامل عليها. تم الإبلاغ عن الثغرة من قبل الباحثين Athiwat Tiprasaharn و Itthidej Aramsri و Waris Damkham عبر برنامج مكافآت الأخطاء في Wordfence.
ثغرة “الباب الخلفي” الخطيرة تهدد مواقع “ووردبريس”
تتعلق الثغرة الأمنية المكتشفة بوجود وظيفة خفية تم زرعها داخل الإضافة، والتي تسمح لأي مهاجم بإنشاء حساب مسؤول جديد على أي موقع يتضمن هذه الإضافة. من جهة أخرى، إن وجود باب خلفي بهذه الخطورة يمثل تهديداً كبيراً لأمن وحماية البيانات.
تم إدخال هذه الثغرة من قبل موظف سابق في الشركة، والذي غادر الشركة في أواخر ديسمبر 2025. وبحسب LA-Studio، قام هذا المطور بتعديل كود الإضافة قبل انتهاء خدمته مباشرة، مضيفاً وظائف مخفية تسمح بإنشاء حسابات مسؤولين غير مصرح بها. هذا الحادث يسلط الضوء على التحديات المتزايدة المتعلقة بالتهديدات الداخلية وأهمية عمليات مراجعة الكود خلال انتقال الموظفين.
تفاصيل الثغرة وتأثيرها
وجد محللو Wordfence أن الثغرة موجودة في نظام تسجيل المستخدمين الخاص بالإضافة، وتحديداً في الدالة ajax_register_handle. تم إصلاح الثغرة بسرعة، حيث تم إصدار الإصدار 1.6.0 بتاريخ 14 يناير 2026، بعد يومين فقط من التقرير الأولي. هذا التعاون السريع بين باحثي الأمن والمطورين ساهم في تقليل نطاق الضرر المحتمل.
تؤثر الثغرة على جميع الإصدارات التي تصل إلى 1.5.6.3 من إضافة “LA-Studio Element Kit for Elementor”. يمكن للمهاجمين استغلال هذه الثغرة عن طريق إرسال طلب تسجيل مصمم خصيصاً يتضمن المعامل lakit_bkrole. بمجرد النجاح، يكتسب المهاجم وصولاً إدارياً كاملاً إلى موقع ووردبريس المستهدف، مما يمكنه من تحميل ملفات خبيثة، أو تعديل المحتوى، أو إعادة توجيه الزوار إلى مواقع ضارة، أو حقن محتوى غير مرغوب فيه (سبام).
تجدر الإشارة إلى أن الباب الخلفي كان مشفرًا (obfuscated) لتجنب الكشف أثناء مراجعات الأمان. هذه التقنية ساهمت في جعل الوظيفة الخبيثة أكثر صعوبة في الاكتشاف.
آلية عمل الباب الخلفي المشفر
يعمل الباب الخلفي من خلال تعديل مخفي بعناية داخل نظام معالجة التسجيل الخاص بالإضافة. عند فحص الكود، وجد محللو Wordfence أن الدالة ajax_register_handle تحتوي على منطق مشفر يتحقق من وجود المعامل lakit_bkrole أثناء تسجيل المستخدم. إذا تم اكتشاف هذا المعامل، كانت الدالة تقوم بتشغيل عوامل تصفية إضافية تعين صلاحيات المسؤول للحساب الذي تم إنشاؤه حديثًا.
شمل التشفير تقنيات مثل معالجة السلاسل النصية واستدعاءات الوظائف غير المباشرة، مما جعل الكود الخبيث يندمج بسلاسة مع وظائف الإضافة الشرعية. سمح هذا التمويه الماهر للباب الخلفي بتجاوز عمليات التدقيق الأمني القياسية وبقي غير مكتشف حتى بدأ الباحثون في التحقيق في أنماط مشبوهة في سير عمل التسجيل.