أعلنت شركة Patchstack عن اكتشاف ثغرة أمنية بالغة الخطورة في إضافة Modular DS الخاصة بمنصة WordPress، والتي تخضع حالياً للاستغلال النشط من قبل مهاجمين. الثغرة، المسجلة تحت الرمز CVE-2026-23550، حصلت على أعلى درجة خطورة في مقياس CVSS (10.0)، وتسمح بترقية الامتيازات دون مصادقة، ما يمنح المهاجم وصولاً كاملاً إلى حسابات المدير.
الإصدارات المتأثرة تشمل جميع النسخ حتى الإصدار 2.5.1، بينما تم إصلاح المشكلة في الإصدار 2.5.2. وتشير التقديرات إلى أن الإضافة مثبتة على أكثر من 40 ألف موقع نشط، ما يضاعف خطورة الاستغلال.
جذور المشكلة وآلية الاستغلال
الثغرة تعود إلى آلية التوجيه داخل الإضافة، حيث تُعرض المسارات الحساسة تحت بادئة /api/modular-connector/. ورغم وجود طبقة مصادقة، إلا أنه يمكن تجاوزها عند تفعيل خيار “direct request” عبر تمرير معاملات مثل:
- origin=mo
type=xxxهذا التلاعب يجعل الطلب يُعامل كطلب مباشر من Modular، ما يسمح بتجاوز المصادقة. وبمجرد أن يكون الموقع متصلاً بـModular (مع وجود رموز مفعلة أو قابلة للتجديد)، يمكن لأي مهاجم تمرير الطلبات دون وجود رابط تشفيري يثبت شرعيتها.النتيجة هي كشف مسارات حساسة مثل:/login/
/server-information/
/manager/
/backup/
هذه المسارات تتيح تنفيذ إجراءات خطيرة، بدءاً من تسجيل الدخول عن بُعد وصولاً إلى الحصول على بيانات حساسة للنظام أو المستخدمين.
الاستغلال النشط والهجمات المكتشفة
وفقاً للتفاصيل التي نشرتها Patchstack، تم رصد أولى الهجمات في 13 يناير 2026 عند الساعة الثانية صباحاً بتوقيت UTC، حيث استُخدمت طلبات HTTP GET إلى المسار /api/modular-connector/login/ تلتها محاولات لإنشاء مستخدم إداري جديد.
الهجمات انطلقت من عناوين IP محددة، أبرزها:
- 45.11.89[.]19
- 185.196.0[.]11
هذا الاستغلال يفتح الباب أمام سيطرة كاملة على المواقع المستهدفة، بما في ذلك إدخال تغييرات خبيثة، نشر برمجيات ضارة، أو إعادة توجيه المستخدمين إلى مواقع احتيالية.
توصيات أمنية ودروس مستفادة
في ظل الاستغلال النشط، يُنصح جميع مستخدمي إضافة Modular DS بالترقية الفورية إلى الإصدار 2.5.2 لتفادي الاختراق. الخبراء يؤكدون أن هذه الثغرة لم تكن نتيجة خطأ واحد، بل نتيجة مجموعة من خيارات التصميم غير الآمنة، مثل:
- الاعتماد على مطابقة المسارات عبر URL.
- وضع “direct request” المفرط في السماحية.
- مصادقة مبنية فقط على حالة اتصال الموقع.
- آلية تسجيل دخول تعود تلقائياً إلى حساب المدير.
هذه الحادثة تُبرز خطورة الثقة الضمنية في المسارات الداخلية عند كشفها للعامة، وتؤكد الحاجة إلى مراجعة تصميم الإضافات بعناية لضمان عدم تحولها إلى بوابة مفتوحة أمام المهاجمين.
