الأمن السيبرانيالاختراقات والثغرات

ثغرة خطيرة في إضافة عضويات ووردبريس تسمح للمهاجمين بإنشاء حسابات مدير والسيطرة على المواقع

ابراهيم الهياجمآخر تحديث: مارس 22, 2026

اكتشف باحثون في مجال الأمن السيبراني ثغرة أمنية خطيرة في إضافة عضويات ووردبريس User Registration & Membership Plugin for WordPress، قد تمكّن المهاجمين من إنشاء حسابات مدير (Administrator) دون الحاجة إلى تسجيل الدخول، ما قد يؤدي إلى السيطرة الكاملة على الموقع.

وحملت الثغرة الرمز CVE-2026-1492، وتُصنف بدرجة خطورة عالية جدًا، إذ تسمح للمهاجمين بتجاوز آليات الحماية الخاصة بإدارة الصلاحيات داخل الإضافة.

مقالات ذات صلة

كيف تعمل الثغرة؟

تُستخدم إضافة User Registration & Membership على نطاق واسع في مواقع WordPress لإنشاء نماذج تسجيل مخصصة وإدارة حسابات المستخدمين.

لكن الإصدارات حتى 5.1.2 تعاني من خلل خطير في إدارة الصلاحيات، حيث تسمح الإضافة للمستخدم الذي يسجل حسابًا جديدًا بتحديد الدور (Role) الخاص به أثناء التسجيل دون التحقق منه من جهة الخادم.

وبسبب غياب قائمة الأدوار المسموح بها (Allowlist)، يمكن للمهاجم إرسال طلب تسجيل يتضمن دور Administrator، مما يمنحه صلاحيات كاملة على الموقع دون أي تحقق إضافي.

السيطرة الكاملة على الموقع

بعد نجاح الهجوم، يحصل المهاجم على وصول كامل إلى لوحة تحكم الموقع، ما يمكّنه من:

  • سرقة بيانات المستخدمين الحساسة.
  • تعديل محتوى الموقع أو حذف البيانات.
  • تثبيت أبواب خلفية (Backdoors) وبرمجيات خبيثة.
  • استخدام الموقع لنشر البرمجيات الضارة أو هجمات إضافية.

وقد اكتشف هذه الثغرة الباحث الأمني Foxyyy، وحصلت على درجة خطورة 9.8 من 10 وفق معيار CVSS.

محاولات استغلال نشطة

تشير تقارير أمنية إلى رصد محاولات استغلال نشطة للثغرة، حيث تمكنت أنظمة الحماية من حظر 74 محاولة هجوم خلال 24 ساعة فقط.

كما أن هذه ليست المشكلة الأمنية الوحيدة في الإضافة، إذ تبين أن الإصدار نفسه يعاني أيضًا من ثغرة أخرى لتجاوز المصادقة تحمل الرمز CVE-2026-1779، والتي قد تسمح للمهاجمين بتجاوز نظام تسجيل الدخول بالكامل.

الحل والتحديث الأمني

أوصت شركة الأمن السيبراني Wordfence مديري المواقع باتخاذ إجراءات عاجلة لحماية مواقعهم.

وقد أصدرت الشركة المطورة للإضافة تحديثًا أمنيًا يمنع المستخدمين من تعيين أدوار ذات صلاحيات مرتفعة أثناء التسجيل.

وبحسب التوصيات الأمنية:

  • يجب تحديث الإضافة فورًا إلى الإصدار 5.1.3 أو أحدث.
  • مراجعة جميع حسابات المستخدمين داخل الموقع.
  • حذف أي حسابات مدير غير معروفة.
  • مراقبة طلبات التسجيل لرصد أي نشاط مشبوه.

خطر كبير على المواقع غير المحدثة

تكمن خطورة هذه الثغرة في أنها لا تتطلب تسجيل دخول مسبق، ما يجعل المواقع التي تستخدم الإصدارات القديمة من الإضافة عرضة للاختراق بسهولة.

ويؤكد خبراء الأمن أن تحديث الإضافة إلى أحدث إصدار هو الخطوة الأكثر أهمية لحماية نماذج التسجيل ومنع إنشاء حسابات مدير غير مصرح بها.

المصدر:cybersecuritynews

الوسوم
ابراهيم الهياجمآخر تحديث: مارس 22, 2026

مقالات ذات صلة

إصدارات جديدة من cPanel وWHM تسد ثلاث ثغرات أمنية خطيرة.. والتوصية بالتحديث الفوري

إصدارات جديدة من cPanel وWHM تسد ثلاث ثغرات أمنية خطيرة.. والتوصية بالتحديث الفوري

مايو 9, 2026
Google تطلق درعًا جديدًا لحماية Android من هجمات التوريد

Google تطلق درعًا جديدًا لحماية Android من هجمات التوريد

مايو 6, 2026
اختراق 30 ألف حساب فيسبوك عبر حملة تصيّد تستخدم Google AppSheet

اختراق 30 ألف حساب فيسبوك عبر حملة تصيّد تستخدم Google AppSheet

مايو 2, 2026
حزمة التصيّد Bluekit الجديدة تتضمن مساعدًا بالذكاء الاصطناعي

حزمة التصيّد Bluekit الجديدة تتضمن مساعدًا بالذكاء الاصطناعي

مايو 2, 2026
زر الذهاب إلى الأعلى