- البرنامج المساعد WPvivid Backup & Migration عرضة لخلل RCE خطير CVE-2026-1357
- يتطلب الاستغلال تمكين خيار “تلقي نسخة احتياطية من موقع آخر”، مع نافذة هجوم على مدار 24 ساعة
- تم إصدار التصحيح في الإصدار 0.9.123 (28 يناير)؛ وحث المستخدمين على الترقية على الفور
يعد WPvivid Backup & Migration، وهو مكون إضافي لبرنامج WordPress يحتوي على ما يقرب من مليون عملية تثبيت، عرضة لثغرة خطيرة تسمح للجهات الفاعلة في مجال التهديد بتشغيل تعليمات برمجية ضارة عن بُعد.
على الرغم من أن الأمر يبدو مشؤومًا، إلا أن الخطأ به بعض القيود التي تجعل استغلاله صعبًا إلى حد ما.
يتيح مكون WordPress الإضافي المتأثر للمستخدمين إنشاء نسخ احتياطية للموقع واستعادتها وترحيل المواقع إلى نطاقات أو مضيفات جديدة. تتوفر الميزات الأساسية مجانًا، مع ترقيات متميزة اختيارية لوظائف أكثر تقدمًا. ويبلغ حاليًا أكثر من 900000 عملية تثبيت نشطة وأكثر من 20000 عميل.
استغلال وتصحيح
ومع ذلك، وجد الباحثون الأمنيون Defiant أن المكون الإضافي يعاني من معالجة غير صحيحة للأخطاء في عملية فك تشفير RSA، بالإضافة إلى عدم وجود تنظيف للمسار. ونتيجة لذلك، يمكن للجهات الفاعلة في مجال التهديد تحميل ملفات عشوائية إلى الخادم دون مصادقة، مما يؤدي إلى تنفيذ التعليمات البرمجية عن بعد (RCE).
تم تتبع الخطأ باسم CVE-2026-1357 وحصل على درجة خطورة تبلغ 9.8/10 (حرجة). وهو يؤثر على جميع الإصدارات حتى 0.9.123، الذي تم إصداره في 28 يناير.
في حين يُنصح جميع المستخدمين بالترقية إلى إصدار آمن في أقرب وقت ممكن، فإن استغلال هذه الثغرة الأمنية ليس سهلاً كما يبدو. فقط المواقع التي تم تمكين خيار “تلقي النسخ الاحتياطي من موقع آخر” هي عرضة للخطر، ولا يتم تشغيل هذه الميزة افتراضيًا.
علاوة على ذلك، ليس أمام المجرمين سوى 24 ساعة للهجوم، نظرًا لأن المفتاح الذي تحتاجه المواقع الأخرى لإرسال ملفات النسخ الاحتياطي تنتهي صلاحيته بعد يوم واحد.
ولسوء الحظ، لا توجد طريقة لمعرفة عدد المنشآت المعرضة للخطر من أصل 900 ألف منشأة نشطة. يعرض موقع الويب الرسمي لمكون WordPress الإضافي فقط تثبيتات الإصدار 0.9، دون مزيد من التجزئة. ويذكر أنه منذ 28 يناير، يوم التصحيح، وحتى اليوم، تم تنزيل البرنامج الإضافي حوالي 200000 مرة.
عبر BleepingComputer
أفضل برامج مكافحة الفيروسات لجميع الميزانيات
اتبع TechRadar على أخبار جوجل و أضفنا كمصدر مفضل للحصول على أخبار الخبراء والمراجعات والآراء في خلاصاتك. تأكد من النقر على زر المتابعة!
وبالطبع يمكنك أيضًا اتبع TechRadar على TikTok للحصول على الأخبار والمراجعات وفتح الصناديق في شكل فيديو، والحصول على تحديثات منتظمة منا على واتساب أيضاً.
التعليقات