- ثغرة حرجة في Everest Forms Pro (CVE‑2026‑3300) يتم استغلالها بنشاط
- المهاجمون ينشئون حساب إداري خبيث “diksimarina” عبر حقن PHP
- تم حظر ما يقرب من 30,000 محاولة استيلاء؛ تم حث المسؤولين على تصحيح الثغرة وحظر عناوين IP الأساسية
يُحذِّر الباحثون في مجال الأمن من حملة اختراق مستمرة تستهدف بعض مواقع ووردبريس باستخدام أداة مكون مضافة شائعة.
تُدعي شركة Wordfence أن Everest Forms Pro، وهو مكون مضافة شائع لـ ووردبريس، يُستخدم زُعم أنه يحمل ثغرة حرجة يسمح للجهات الخبيثة بالاستيلاء على المواقع بالكامل.
تم وصف الخطأ بأنه ثغرة تنفيذ كود عن بُعد (RCE) عبر حقن كود PHP. وتم تتبعها كـ CVE-2026-3300 ومنحت تصنيف خطورة قدره 9.8/10 (حرجة). تؤثر على جميع إصدارات المكون المضاف حتى بما في ذلك 1.9.12.
تم تصحيحه منذ شهور
تحذر Wordfence الآن من أن الثغرة تُستغل بنشاط في البرية لإنشاء حسابات إدارية خبيثة على المواقع الضعيفة:
“يقدم المهاجم قيمة لحقل نصي يبدأ باقتباس مفرد ليغلق سلسلة نصية مُحاطة، يتبعه تصريح PHP يستدعي wp_insert_user() لإنشاء حساب مسؤول جديد باسم المستخدم ‘diksimarina’،” حذرت Wordfence في تقريرها.
“تضمن علامة التعليق // المتبوعة أن بقية كود PHP المُولد، بما في ذلك الاقتباس المغلق، يتم التعامل معه كتعليق ولا يتسبب في خطأ تركيبي.” “عند معالجة النموذج، وتقييم الحساب، يتم تنفيذ كود PHP المُحقن، ويتم إنشاء حساب المسؤول الخبيث.”
من خلال إنشاء حساب إداري، يمكن للجهات الخبيثة القيام تقريبًا بأي شيء بالموقع، بما في ذلك تسريب الملفات المخزنة، تحويل الزوار، أو حتى تقديم البرمجيات الخبيثة.
تم الكشف عن الخطأ لأول مرة في فبراير من هذا العام، وفي منتصف مارس، أصدرت شركة Everest Forms تصحيحًا. تقول Wordfence إن محاولات الاستغلال بدأت تقريبًا بعد شهر، في منتصف أبريل. حتى الآن، تم إحباط ما يقرب من 30,000 محاولة، جاءت معظمها من عنواني IP.
يجب على المسؤولين القلقين بشأن كونهم أهدافًا محتملة حظر عنواني الـ IP 202.56.2[.]126 و 209.146.60.26، ويجب عليهم مراجعة سجلات الملفات للبحث عن السلسلة “diksimarina.”
عبر BleepingComputer
