أضافت وكالة الأمن السيبراني الأمريكية (CISA) يوم الاثنين ثغرتين أمنيتين خطيرتين تؤثران على بروتوكول Erlang/OTP SSH ومنصة Roundcube البريدية إلى كتالوج الثغرات المعروفة المستغلة (KEV)، وذلك بعد رصد أدلة على استغلالهما فعليًا.
الثغرات المدرجة كالتالي:
-
CVE-2025-32433 (درجة الخطورة: 10.0) – ثغرة نقص المصادقة في وظيفة حرجة بخادم Erlang/OTP SSH، تسمح للمهاجم بتنفيذ أوامر عشوائية دون مصادقة، مما قد يؤدي إلى تنفيذ أكواد عن بُعد. (تم إصلاحها في أبريل ٢٠٢٥ بإصدارات OTP-27.3.3 وOTP-26.2.5.11 وOTP-25.3.2.20)
-
CVE-2024-42009 (درجة الخطورة: 9.3) – ثغرة XSS في بريد RoundCube تُمكّن المهاجم من سرقة وإرسال رسائل الضحية عبر بريد إلكتروني مُعدّ خصيصًا، مستغلاً خللًا في إزالة التعقيم تم إصلاحها في أغسطس ٢٠٢٥ بإصدارات 1.6.8 و1.5.8)
تفاصيل الاستغلال والسياق الأمني
لا توجد تفاصيل حتى الآن عن كيفية استغلال الثغرتين أو الجهات المسؤولة. لكن في مايو الماضي، كشفت شركة ESET عن استغلال مجموعة APT28 (المُربوطة بروسيا) لثغرات XSS في أنظمة مثل Roundcube وHorde لاستهداف جهات حكومية ودفاعية في أوروبا الشرقية. ولم يُعرف بعد ما إذا كان استغلال CVE-2024-42009 مرتبطًا بهذه الأنشطة.
وفقًا لبيانات Censys، يوجد 340 خادمًا مكشوفًا يعمل بـ Erlang، لكن ليس بالضرورة أن تكون جميعها عرضة للثغرة. كما تم نشر عدة نماذج استغلال (PoC) لثغرة CVE-2025-32433 بعد الكشف عنها بفترة وجيزة.
إجراءات التصحيح
طالبت الوكالة الوكالات الفيدرالية الأمريكية (FCEB) بتطبيق التحديثات اللازمة قبل 30 يونيو 2025لتفادي الاستغلال.
ثغرة جديدة غير مصححة في إضافة ووردبريس
في سياق متصل، كشفت Patchstack عن ثغرة استيلاء على حسابات (CVE-2025-31022، درجة الخطورة: 9.8) في إضافة PayU CommercePro لـ WordPress، تسمح للمهاجم بالسيطرة على أي حساب دون مصادقة، خاصة إذا كان الحساب مسؤولًا. الثغرة تؤثر على الإصدارات 3.8.5 وما قبلها، بينما تُستخدم الإضافة بأكثر من 5000 موقع.
