كشف باحثون في الأمن السيبراني عن استغلال نشط لثغرة حرجة في قالب Service Finder الخاص بووردبريس، تتيح للمهاجمين تجاوز آليات المصادقة والوصول غير المصرح به إلى أي حساب، بما في ذلك حسابات المدراء، والسيطرة الكاملة على المواقع المستهدفة.
تحمل الثغرة الرقم CVE-2025-5947 وتُصنف بدرجة خطورة 9.8 وفق نظام CVSS، إذ تؤثر على إضافة Service Finder Bookings المضمّنة داخل القالب نفسه، واكتشفها الباحث المعروف باسم Foxyyy.
ثغرة تصعيد صلاحيات عبر تجاوز المصادقة
وأوضح الباحث الأمني في Wordfence “إستفان مارتون” أن الخلل يكمن في سوء معالجة الإضافة لقيم ملفات تعريف الارتباط (Cookies) أثناء عملية تسجيل الدخول عبر دالة التحويل بين الحسابات (service_finder_switch_back())، ما يسمح للمهاجمين غير الموثقين بتسجيل الدخول كأي مستخدم، بما في ذلك المدير، والتحكم الكامل بالموقع.
وبذلك يمكن استغلال الثغرة لزرع شيفرات خبيثة، أو إعادة توجيه المستخدمين إلى مواقع مزيفة، أو حتى استضافة برمجيات ضارة على الخادم المستهدف.
تحديث أمني وإحصاءات الاستهداف
تشمل الثغرة جميع إصدارات القالب حتى الإصدار 6.0، قبل أن يتم تصحيحها في الإصدار 6.1 بتاريخ 17 يوليو 2025.
ووفق بيانات Envato Market، فإن القالب قد تم بيعه لأكثر من 6100 عميل.
منذ الأول من أغسطس 2025، رصدت شركة Wordfence أكثر من 13,800 محاولة استغلال للثغرة، من عناوين IP متعددة، من بينها:
5.189.221.98 — 185.109.21.157 — 192.121.16.196 — 194.68.32.71 — 178.125.204.198
إلا أن نسبة النجاح الفعلية لهذه الهجمات لم تتضح بعد.
توصيات أمنية للمواقع المتأثرة
أوصت الجهات الأمنية مديري المواقع التي تستخدم القالب بفحص سجلاتهم بحثًا عن أي أنشطة مريبة، والتأكد من تحديث جميع القوالب والإضافات إلى أحدث إصدار متاح، لضمان إغلاق الثغرة ومنع السيطرة على الحسابات الحساسة.
