هاكرز يستغلون ثغرة حرجة في قالب ووردبريس “Alone” للاستيلاء على المواقع عبر تثبيت إضافات عن بُعد

هاكرز يستغلون ثغرة حرجة في قالب ووردبريس "Alone" للاستيلاء على المواقع عبر تثبيت إضافات عن بُعد
هاكرز يستغلون ثغرة حرجة في قالب ووردبريس "Alone" للاستيلاء على المواقع عبر تثبيت إضافات عن بُعد
شارك هذا الخبر

يستغلّ قراصنة الإنترنت ثغرة أمنية حرجة في قالب ووردبريس الشهير “Alone – Charity Multipurpose Non-profit” لغير الربحيين، مما يمكّنهم من السيطرة على المواقع المتأثرة بهذه الثغرة.

وقد تم تتبع الثغرة تحت الرمز CVE-2025-5394، مع تقييم خطورتها بـ9.8 وفقًا لمقياس CVSS. ويُنسب اكتشاف هذه الثغرة للباحث الأمني “ثاي آن”، فيما أكدت شركة Wordfence أن الخلل يتمثل في قدرة رفع ملفات عشوائية، ويؤثر على جميع نسخ القالب حتى الإصدار 7.8.3، وقد جرى إصلاحه في الإصدار 7.8.5 الصادر في 16 يونيو 2025.

سبب الثغرة واستغلالها في الهجمات

تعود الثغرة إلى وظيفة في القالب تُعرف باسم alone_import_pack_install_plugin()، والتي تفتقر إلى تحقق كافٍ من صلاحيات المستخدم، ما يسمح للمهاجمين غير المصادق عليهم بتثبيت إضافات من مصادر خارجية باستخدام طلبات AJAX، وتنفيذ تعليمات برمجية ضارة عن بُعد.

وصرّح “إيستفان مارتون” من شركة Wordfence قائلاً: “تُتيح هذه الثغرة للمهاجمين غير المصادق عليهم تحميل ملفات عشوائية إلى المواقع المعرضة للخطر وتنفيذ تعليمات عن بُعد، ما قد يُستغل عادةً للسيطرة الكاملة على الموقع”.

الهجمات بدأت قبل إعلان الثغرة علنًا

تشير الأدلة إلى أن استغلال الثغرة CVE-2025-5394 بدأ فعليًا في 12 يوليو، أي قبل يومين من الإعلان العلني عنها، مما يدل على أن القراصنة كانوا يراقبون عن كثب التغييرات البرمجية لرصد أي ثغرات تمت معالجتها مؤخرًا.

محاولات اختراق واسعة النطاق

أكدت Wordfence أنها منعت أكثر من 120,900 محاولة استغلال تستهدف هذه الثغرة، وقد تم تحديد عناوين IP التالية كمصادر للهجمات:

193.84.71.244
87.120.92.24
146.19.213.18
185.159.158.108
188.215.235.94
146.70.10.25
74.118.126.111
62.133.47.18
198.145.157.102
2a0b:4141:820:752::2

وتشمل الهجمات التي تم رصدها تحميل أرشيف مضغوط (مثل “wp-classic-editor.zip” أو “background-image-cropper.zip”) يحتوي على أبواب خلفية مكتوبة بلغة PHP تُستخدم لتنفيذ أوامر عن بُعد وتحميل ملفات إضافية. كما شملت الهجمات تسليم أدوات إدارة ملفات كاملة وأبواب خلفية قادرة على إنشاء حسابات مدير خبيثة في النظام.

توصيات للوقاية

نصحت Wordfence أصحاب المواقع التي تستخدم هذا القالب بسرعة تحديثه إلى أحدث إصدار متاح، والتحقق من وجود أي حسابات إدارية مشبوهة، ومراجعة سجلات الدخول بحثًا عن الطلب التالي:

/wp-admin/admin-ajax.php?action=alone_import_pack_install_plugin

وسوم
محمد طاهر
محمد طاهر
المقالات: 582

اترك ردّاً

لن يتم نشر عنوان بريدك الإلكتروني. الحقول الإلزامية مشار إليها بـ *


The reCAPTCHA verification period has expired. Please reload the page.

إقرأ أيضًا

الرئيسية إرسل إيميل أتصل بنا أعلى الصفحة