كشف باحثون في مجال الأمن السيبراني عن استغلال نشط لثغرات خطيرة في إضافة WordPress الشهيرة OttoKit (المعروفة سابقًا باسم SureTriggers)، والتي تم تثبيتها على أكثر من 100,000 موقع.
تفاصيل الثغرة الأمنية CVE-2025-27007
الثغرة التي تم تسجيلها تحت المعرف CVE-2025-27007 والتي حصلت على تقييم 9.8 من 10 على مقياس CVSS، تعتبر من نوع تصعيد الامتيازات (Privilege Escalation). تؤثر هذه الثغرة على جميع إصدارات الإضافة حتى الإصدار 1.0.82.
وفقًا لتقرير من شركة Wordfence المتخصصة في أمن WordPress، فإن الخلل يكمن في وظيفة create_wp_connection() التي:
-
لا تقوم بالتحقق من صلاحيات المستخدم بشكل صحيح
-
ولا تُجري تحققًا كافيًا من بيانات اعتماد المستخدم
ما يجعل هذه الثغرة تتيح للمهاجمين غير المصادقين إنشاء اتصال بالموقع، وهو ما يمكّنهم لاحقًا من تصعيد الامتيازات وإنشاء حسابات إدارية ضارة.
حالات الاستغلال الممكنة:
تشير Wordfence إلى أن الثغرة يمكن استغلالها فقط في حالتين:
-
إذا لم يتم تفعيل أو استخدام كلمة مرور التطبيقات (Application Password) على الموقع مطلقًا
-
أو إذا كان لدى المهاجم وصول مصادق إلى الموقع ويمكنه توليد كلمة مرور تطبيق صالحة
في هذه الحالات، يتمكن المهاجم من إنشاء اتصال بالموقع عبر نقطة الربط، ثم يستخدمه لإنشاء حساب مستخدم بصلاحيات إدارية من خلال نقطة تنفيذ الأوامر في الإضافة.
ثغرة إضافية: CVE-2025-3102
اللافت أن هذه الهجمات لا تقتصر على ثغرة واحدة، إذ يستغل المهاجمون ثغرة ثانية بنفس الإضافة، وهي المسجلة تحت CVE-2025-3102، بتقييم خطورة 8.1 على مقياس CVSS، وقد تم الإبلاغ عن استغلالها منذ أبريل 2025.
تُظهر هذه الأنشطة أن الجهات المهاجمة تقوم بعمليات فحص تلقائي واسع النطاق لمواقع WordPress لرصد الإصدارات الضعيفة واستغلالها فورًا.
فالتوصيات الأمنية للمستخدمين:
نظرًا لأن الإضافة مثبتة على عدد كبير من المواقع النشطة، توصي Wordfence بضرورة التحديث الفوري إلى الإصدار الآمن 1.0.83، لتفادي التعرض للاستغلال.
وأكد التقرير أن الاستغلال النشط للثغرات بدأ منذ 2 مايو 2025، وازدادت حدة الهجمات بشكل واسع اعتبارًا من 4 مايو 2025
