- يحتوي البرنامج الإضافي Ally WordPress على خلل في حقن SQL (CVE-2026-2413)
- تركت الثغرة الأمنية حوالي 246,600 موقعًا معرضًا لسرقة البيانات
- تم إصلاحه في الإصدار 4.1.0؛ يحث WordPress على التحديثات الفورية
حذر الخبراء من أن أحد مكونات WordPress الشائعة التي تحتوي على مئات الآلاف من عمليات التثبيت النشطة تحتوي على ثغرة أمنية عالية الخطورة تسمح للجهات الفاعلة الخبيثة بسرقة البيانات الحساسة من مواقع الويب.
Ally عبارة عن أداة إمكانية الوصول إلى الويب من Elementor، تم إصدارها في نوفمبر 2025 كأداة لا تحدد مشكلات إمكانية الوصول فحسب، بل تقدم أيضًا حلولاً وتوجه مسؤولي الويب خلال عملية تطبيقها.
ولكن وفقًا للباحث الأمني Drew Webber من Acquia، كان Ally يحمل ثغرة أمنية في حقن SQL تسمح للمهاجمين غير المصادقين بإرسال البيانات إلى قاعدة بيانات SQL دون إجراء تنظيف مناسب.
يستمر المقال أدناه
الآلاف من المواقع الضعيفة
وأشار ويبر إلى أن “هذا يجعل من الممكن للمهاجمين غير المصادقين إلحاق استعلامات SQL إضافية بالاستعلامات الموجودة بالفعل والتي يمكن استخدامها لاستخراج المعلومات الحساسة من قاعدة البيانات عبر تقنيات حقن SQL العمياء المستندة إلى الوقت”.
تم تتبع الخطأ باسم CVE-2026-2413، وحصل على درجة خطورة تبلغ 7.5/10 (عالية). وهو يؤثر على جميع الإصدارات حتى 4.0.3، وتم إصلاحه في 23 فبراير من خلال الإصدار 4.1.0.
بالنظر إلى موقع WordPress.org، هناك أكثر من 400000 عملية تثبيت نشطة في الوقت الحالي، مع 38.4% (153600) يشغلون الإصدار الأحدث. وهذا يترك ما يقرب من 246600 موقعًا معرضًا للخطر.
يعتبر WordPress بشكل عام منصة آمنة لإنشاء مواقع الويب، حيث تأتي غالبية نقاط الضعف من المكونات الإضافية والموضوعات التابعة لجهات خارجية. ولهذا السبب ينصح معظم المتخصصين في مجال الأمان المستخدمين بالاحتفاظ فقط بتلك المكونات الإضافية والموضوعات التي يستخدمونها والتأكد من تحديثها في جميع الأوقات.
إلى جانب ترقية Ally، يجب على المستخدمين أيضًا ترقية النظام الأساسي نفسه، حيث أنه أصدر مؤخرًا آخر تحديث أمني، مع WordPress 6.9.2 الذي يعمل على إصلاح 10 ثغرات أمنية، بما في ذلك ثغرة طلب عبر المواقع (XSS)، وثغرة أمنية لتجاوز التفويض، وخطأ في طلب التزوير من جانب الخادم (SSRF).
يحث WordPress عملائه على تثبيت الإصدار الأحدث “على الفور”.
عبر BleepingComputer
أفضل برامج مكافحة الفيروسات لجميع الميزانيات
اتبع TechRadar على أخبار جوجل و أضفنا كمصدر مفضل للحصول على أخبار الخبراء والمراجعات والآراء في خلاصاتك. تأكد من النقر على زر المتابعة!
وبالطبع يمكنك أيضًا اتبع TechRadar على TikTok للحصول على الأخبار والمراجعات وفتح الصناديق في شكل فيديو، والحصول على تحديثات منتظمة منا على واتساب أيضاً.
التعليقات