- خلل في البرنامج المساعد W3 Total Cache CVE-2025-9501 يتيح حقن أوامر PHP غير مصادق عليها
- يؤثر على كافة الإصدارات قبل 2.8.13؛ ما يقرب من 327000+ موقع لا يزال معرضًا للخطر
- تم تحديد موعد لاستغلال WPScan PoC في 24 نوفمبر، مما يثير مخاوف بشأن الاستغلال الجماعي
حذر الخبراء من أن W3 Total Cache (W3TC)، وهو مكون إضافي لبرنامج WordPress يضم أكثر من مليون مستخدم، يحمل ثغرة أمنية خطيرة تسمح للجهات الفاعلة في مجال التهديد بالسيطرة الكاملة على مواقع الويب المخترقة.
تم وصف الخطأ على أنه خلل في إدخال الأوامر يعمل عن طريق إرسال تعليق بحمولة ضارة إلى منشور. لا يحتاج المهاجم إلى المصادقة على موقع الويب من أجل إدخال أوامر PHP بهذه الطريقة.
يتم الآن تتبع الثغرة الأمنية باسم CVE-2025-9501، وبدرجة خطورة تبلغ 9.0/10 (حرجة)، فإنها تؤثر على جميع إصدارات المكون الإضافي قبل 2.8.13.
24 نوفمبر الموعد النهائي
ولتصحيح الخلل، يجب على المستخدمين تحديث المكون الإضافي الخاص بهم إلى الإصدار 2.8.13، الذي تم إصداره في 20 أكتوبر.
وبالنظر إلى البيانات من موقع WordPress.org، يقول أن 67.3% من الصفحات تم تحديثها إلى الإصدار 2.8، بينما الـ 32.7% المتبقية موجودة في الإصدارات الأقدم. وهذا من شأنه أن يعرض ما لا يقل عن 327000 موقع للخطر.
ومع ذلك، هذا لا يعني أن جميع المواقع التي يبلغ عددها 67.3% تعمل بالإصدار 2.8.13، لذا من المحتمل أن يكون العدد الفعلي للمواقع المعرضة للخطر أكبر بكثير.
في نصائحهم الأمنية، قال باحثون من WPScan، وهو ماسح أمني مصمم خصيصًا لمنشئ موقع WordPress، إنهم طوروا استغلالًا لإثبات المفهوم (PoC) للخلل، وحددوا موعدًا نهائيًا ليوم 24 نوفمبر لنشره. قبل ذلك، كانوا يتوقعون أن تقوم غالبية مواقع الويب بتحديث مكوناتها الإضافية إلى الإصدار الآمن.
في العديد من الحالات، يبدأ الاستغلال الجماعي في اللحظة التي يتم فيها إصدار إثبات المفهوم (PoC)، نظرًا لأن العديد من الجهات الفاعلة في مجال التهديد لا يمكن أن تكلف نفسها عناء تطوير واحدة بنفسها، وسوف تلتقط ببساطة كل ما هو موجود بالفعل. لذلك، من الضروري أن يقوم مالكو ومسؤولو موقع WordPress بالتحديث قبل الموعد النهائي.
عبر BleepingComputer
أفضل برامج مكافحة الفيروسات لجميع الميزانيات
اتبع TechRadar على أخبار جوجل و أضفنا كمصدر مفضل للحصول على أخبار الخبراء والمراجعات والآراء في خلاصاتك. تأكد من النقر على زر المتابعة!
وبالطبع يمكنك أيضًا اتبع TechRadar على TikTok للحصول على الأخبار والمراجعات وفتح الصناديق في شكل فيديو، والحصول على تحديثات منتظمة منا على واتساب أيضاً.
التعليقات