- كشف WordFence عن خلل RCE خطير (CVE-2025-6389) في البرنامج الإضافي Sneeit Framework، مما يؤثر على الإصدارات ≥8.3
- يتيح الاستغلال للمهاجمين إنشاء حسابات إدارية، وتثبيت المكونات الإضافية الضارة، واختطاف مواقع WordPress
- حث المستخدمين على التحديث إلى الإصدار 8.4 ومراقبة المسؤولين المارقين وملفات PHP المشبوهة وأنشطة AJAX الضارة
حذر باحثون أمنيون من WordFence من وجود ثغرة أمنية بالغة الخطورة في مكون إضافي شائع يسمح للجهات الفاعلة في مجال التهديد بإضافة أنفسهم كمسؤولين على مواقع WordPress.
في تقرير أمني نُشر الأسبوع الماضي، قالت WordFence إنها عثرت على خطأ في تنفيذ التعليمات البرمجية عن بعد (RCE) في Sneeit Framework، وهي مجموعة أدوات خلفية يستخدمها مسؤولو WordPress لإدارة خيارات السمات والتخطيطات والميزات المخصصة. تم تتبع الخطأ على أنه CVE-2025-6389، وحصل على درجة خطورة 9.8/10 (حرجة) ويؤثر على جميع إصدارات البرنامج الإضافي السابقة، بما في ذلك، 8.3.
الإصدار 8.4، الذي تم إصداره في أوائل أغسطس 2025، لم يتأثر. وفقًا لـ The Hacker News، يحتوي البرنامج الإضافي حاليًا على أكثر من 1700 عملية تثبيت نشطة.
كيف تبقى آمنا
وفي شرحه لكيفية عمل الثغرة الأمنية، قال WordFence إن الجهات الفاعلة الضارة يمكنها استدعاء وظيفة PHP عشوائية وجعلها تنشئ مستخدمًا إداريًا جديدًا، والذي يمكن للمهاجمين بعد ذلك استخدامه للسيطرة الكاملة على موقع الويب المستهدف. بعد ذلك، يمكنهم بسهولة تثبيت المكونات الإضافية الضارة، وإضافة أدوات استخراج البيانات، وإعادة توجيه الضحايا إلى مواقع أخرى، وتقديم صفحات مقصودة للتصيد الاحتيالي، والمزيد.
وبحسب ما ورد بدأ المجرمون في استغلال الخلل لحظة الإعلان عنه علنًا. في اليوم الأول، منع WordFence أكثر من 131000 هجمة، وحتى اليوم، يصل عدد الهجمات اليومية إلى حوالي 15000.
أفضل طريقة للبقاء في مأمن من هذه الثغرة الأمنية هي تحديث المكون الإضافي إلى الإصدار 8.4. يُنصح المستخدمون أيضًا بالحفاظ على نظام WordPress الخاص بهم، بالإضافة إلى جميع المكونات الإضافية والموضوعات الأخرى، محدثة في جميع الأوقات. علاوة على ذلك، يجب حذف جميع العناصر غير المستخدمة من المنصة.
هناك أيضًا مؤشرات على وجود اختراق يجب على مشرفي المواقع الانتباه إليها – مثل ظهور حساب مسؤول WordPress جديد غير مصرح به، تم إنشاؤه من خلال رد اتصال AJAX الضعيف.
علامة حمراء أخرى هي وجود ملفات PHP ضارة تم تحميلها إلى الخادم، بما في ذلك ملفات webshells المسماة xL.php أو Canonical.php أو .a.php أو simple.php أو up_sf.php، بالإضافة إلى ملفات htaccess المشبوهة المصممة للسماح بتنفيذ أنواع الملفات الخطيرة.
قد تحتوي المواقع التي تم اختراقها أيضًا على ملفات مثل finderdata.txt أو goodfinderdata.txt، التي تم إنشاؤها بواسطة أداة shell-finder الخاصة بالمهاجم. تعد ملفات السجل التي تعرض طلبات AJAX الناجحة من عناوين IP المهاجمة المعروفة – مثل 185.125.50.59 و182.8.226.51 و89.187.175.80 وغيرها من العناوين المدرجة في التقرير مؤشرًا قويًا آخر على أنه تم استخدام الثغرة الأمنية للوصول إلى الموقع.
عبر أخبار الهاكر
أفضل برامج مكافحة الفيروسات لجميع الميزانيات
اتبع TechRadar على أخبار جوجل و أضفنا كمصدر مفضل للحصول على أخبار الخبراء والمراجعات والآراء في خلاصاتك. تأكد من النقر على زر المتابعة!
وبالطبع يمكنك أيضًا اتبع TechRadar على TikTok للحصول على الأخبار والمراجعات وفتح الصناديق في شكل فيديو، والحصول على تحديثات منتظمة منا على واتساب أيضاً.
التعليقات