كشف باحثون في الأمن السيبراني عن استغلال نشط لثغرة حرجة في إضافة Everest Forms Pro الخاصة بمنصة ووردبريس، والتي تُستخدم في إدارة النماذج الإلكترونية ولديها نحو 4,000 تثبيت نشط.
الثغرة المسجلة تحت الرمز CVE-2026-3300 تحمل درجة خطورة 9.8 وفق مقياس CVSS، وتسمح بتنفيذ تعليمات برمجية عن بُعد (Remote Code Execution) على الخادم، ما يؤدي إلى سيطرة كاملة على الموقع.
تؤثر الثغرة على جميع الإصدارات حتى النسخة 1.9.12، بينما أُطلق التحديث الأمني في 18 مارس 2026 عبر الإصدار 1.9.13.
كيفية الاستغلال وآلية الهجوم
وفقاً لشركة Wordfence، تكمن المشكلة في وظيفة process_filter() ضمن إضافة الحسابات المعقدة (Calculation Addon) التي تقوم بدمج القيم المدخلة من المستخدمين داخل سلسلة برمجية بلغة PHP دون معالجة صحيحة، ثم تمريرها إلى دالة eval().
هذا الخلل يسمح للمهاجمين غير الموثقين بحقن تعليمات PHP وتنفيذها عبر حقول النصوص أو البريد الإلكتروني أو الروابط أو خيارات الاختيار، عند استخدام ميزة “الحسابات المعقدة”.
الاستغلال الناجح يمكّن المهاجمين من إنشاء حسابات إدارية مزيفة، وزرع web shells، وفتح منافذ خلفية للتعمق في الخادم والحفاظ على وجود دائم.
نشاط الاستغلال وأمثلة عملية
بدأت محاولات الاستغلال في 13 أبريل 2026، حيث رصدت Wordfence أكثر من 29,300 محاولة هجوم حتى الآن، بينها 16 محاولة خلال 24 ساعة فقط.
أكثر الحمولات شيوعاً تمثلت في محاولة إنشاء حساب إداري باسم diksimarina باستخدام البريد الإلكتروني diksimarina@gmail.com.
الهجمات انطلقت من عدة عناوين IP موزعة حول العالم، منها:
- 202.56.2.126
- 209.146.60.26
- 15.235.166.18
- 2402:1f00:8000:800::40db
- 185.78.165.153
حملات سكيمر تستغل Stripe كخادم تحكم
بالتزامن مع هذه الثغرة، حذرت شركة Sansec من حملات سكيمر واسعة تستغل منصة Stripe كخادم تحكم (C2) ومخزن لتسريب البيانات.
المهاجمون يستخدمون Google Tag Manager وapi.stripe.com لتحميل الشيفرة الخبيثة وتشغيلها على صفحات الدفع في منصات مثل Magento وAdobe Commerce.
السكيمر يستخرج بيانات البطاقات والعناوين والبريد الإلكتروني وأرقام الهواتف، ويخزنها في localStorage قبل إرسالها إلى حساب Stripe الخاص بالمهاجم. كل بطاقة مسروقة تُسجَّل كـ “عميل” في قاعدة بيانات Stripe، ما يجعلها مخزناً آمناً وصعب الحجب.
التحقيقات أظهرت أن العملية بدأت منذ ديسمبر 2025، مع وجود نسخة ثانية من السكيمر تستغل Google Firestore بنفس الأسلوب.
عمليات واسعة النطاق عبر متاجر مزيفة
النتائج تتزامن مع حملة ضخمة أُطلق عليها اسم GorgonAgora، تضمنت أكثر من 5,700 متجر مزيف بنطاقات .shop تنتحل علامات تجارية عالمية مثل Starbucks وSony وToyota.
هذه المتاجر تستخدم إطار عمل Medusa.js وتعرض واجهة دفع مزيفة عبر Stripe، حيث يتم تسريب بيانات البطاقات عبر قناة مشفرة باستخدام AES-256-GCM إلى خادم في مولدوفا.
الأخطر أن المهاجمين يملكون آلية relay مباشرة لتحديات 3D Secure، ما يسمح بتمرير التحقق البنكي للمستخدم بشكل طبيعي، بينما تتم عملية السرقة في الخلفية دون أن يلاحظ الضحية.
