إضافة WP Maps Pro تعد واحدة من أشهر الإضافات في سوق Envato Market حيث تجاوزت مبيعاتها 15 ألف عملية شراء، وتستخدم بشكل واسع في مواقع ووردبريس لتضمين خرائط Google Maps وOpenStreetMap مع علامات مخصصة وقوائم وميزات متقدمة لتحديد المواقع. هذه الإضافة غالبًا ما تعتمد عليها المتاجر الإلكترونية كأداة لتحديد مواقع الفروع، مما يسهل على المستخدمين العثور على أقرب نقطة بيع، الاطلاع على تفاصيل القوائم، والحصول على الاتجاهات مباشرة.
تفاصيل الثغرة الأمنية CVE-2026-8732
الثغرة التي تم رصدها وتحمل الرمز CVE-2026-8732 حصلت على تقييم خطورة 9.8 وفق مقياس CVSS، وهي ثغرة تصعيد صلاحيات تسمح للمهاجمين غير الموثقين بإنشاء حسابات إدارية جديدة داخل ووردبريس. هذا يعني أن المهاجم يستطيع السيطرة الكاملة على الموقع المستهدف.
المشكلة تؤثر على جميع إصدارات الإضافة حتى الإصدار 6.1.0، بينما تمت معالجتها في الإصدار 6.1.1. الباحث الأمني David Brown هو من اكتشف وأبلغ عن هذه الثغرة.
الجذر التقني للثغرة
تكمن المشكلة في ميزة “الوصول المؤقت” التي صُممت للسماح لفريق الدعم بالدخول إلى مواقع العملاء أثناء عمليات حل المشكلات. غير أن هذه الميزة تم تسجيلها عبر دالة wpgmp_temp_access_support() دون وجود ضوابط تحقق كافية.
وفقًا لتقرير Wordfence، فإن الإجراء wpgmp_temp_access_ajax تم تسجيله باستخدام wp_ajax_nopriv_، وهو محمي فقط عبر تحقق من nonce يسمى fc-call-nonce، والذي يتم تضمينه علنًا في كل صفحة أمامية عبر كائن wpgmp_local في جافاسكريبت. هذا جعل التحقق غير فعال كآلية للتحكم في الوصول.
وبالتالي، يستطيع المهاجم استدعاء المعالج مع خيار check_temp=false، مما يؤدي إلى إنشاء مستخدم جديد بصلاحيات المدير عبر دالة wp_insert_user()، ثم يحصل على رابط تسجيل دخول سحري يقوم بتوثيقه كمدير جديد، وهو ما يتيح له الاستيلاء الكامل على الموقع.
الاستغلال النشط والتحذيرات الأمنية
أصدرت الشركة المطورة للإضافة تحديثًا في 20 مايو 2026 لإغلاق الثغرة، حيث تم تعديل الكود ليضمن أن الوصول إلى نقطة النهاية لا يتم إلا من قبل مدراء موثقين.
لكن رغم ذلك، أكدت Wordfence أن الثغرة تخضع لاستغلال نشط، حيث تم رصد أكثر من 2,858 هجومًا خلال 24 ساعة فقط. هذا الرقم يعكس خطورة الموقف ويؤكد أن المهاجمين يستهدفون المواقع التي لم تقم بتحديث الإضافة بعد.
لذلك، يُنصح جميع أصحاب المواقع الذين يستخدمون WP Maps Pro بضرورة التحديث الفوري إلى الإصدار 6.1.1 أو أحدث، لتجنب الوقوع ضحية لهذه الهجمات التي قد تؤدي إلى فقدان السيطرة الكاملة على الموقع.
