أصدرت وكالة الأمن السيبراني والبنية التحتية الأميركية (CISA) تحذيرًا عاجلًا بشأن ثغرة خطيرة في إضافة Joomla Content Editor (JCE) التابعة لـ Widget Factory، بعد إدراجها في قائمة Known Exploited Vulnerabilities (KEV) نتيجة وجود أدلة مؤكدة على استغلالها في هجمات فعلية. الثغرة، المسجلة تحت الرمز CVE-2026-48907، حصلت على أعلى تقييم خطورة (CVSS 10.0) نظرًا لقدرتها على تمكين المهاجمين من رفع وتنفيذ شيفرات PHP خبيثة.
تفاصيل الثغرة
المشكلة تكمن في ضعف ضوابط الوصول داخل محرر JCE، حيث يمكن للمهاجمين غير الموثقين إنشاء ملفات تعريف جديدة للمحرر، ما يتيح لهم رفع وتنفيذ شيفرات PHP مباشرة على الخادم.
الثغرة تؤثر على الإصدارات من 1.0.0 حتى 2.9.99.4، وقد تم إصلاحها في الإصدار 2.9.99.5 الصادر في 3 يونيو 2026. لكن Joomla حذرت من أن التحديث يغلق المدخل فقط ولا يزيل أي برمجيات خبيثة زرعها المهاجمون مسبقًا.
طرق الاستغلال
وفقًا للباحث Phil E. Taylor من mySites.guru، يتم استغلال الثغرة عبر استيراد ملفات تعريف محرر مزيفة، تُستخدم لاحقًا لإسقاط web shell يمنح المهاجمين بابًا خلفيًا دائمًا على الخادم.
CISA شددت على ضرورة فحص ملفات تعريف المحرر المشبوهة ومراجعة سجلات الوصول الخاصة بالخادم، خصوصًا الطلبات غير الموثقة إلى المسار:
index.php?option=com_jce&task=profiles.import
حملات موازية تستهدف ووردبريس
بالتزامن مع هذا الكشف، أوضحت شركة Sansec أن أكثر من مليون موقع ووردبريس تعرض لهجمات سلسلة توريد عبر إضافات مثل OptinMonster وTrustPulse وPushEngage، حيث تم حقن جافاسكربت خبيث ينتظر دخول مدير الموقع ليقوم بإنشاء حساب إداري خلفي وتثبيت إضافة خبيثة مخفية.
كما رُصدت حملة أخرى تضمنت إضافة مزيفة باسم Beloved PBN Entegrasyonu، تقوم بإرسال روابط خارجية إلى خادم المهاجم مع كل تحميل للصفحة، إضافة إلى حقن HTML أو جافاسكربت في تذييل الموقع.
الأثر على المواقع
الهجمات سمحت بزرع web shells داخل قاعدة بيانات WordPress، ما منح المهاجمين القدرة على قراءة وكتابة وتعديل وحذف الملفات، وتغيير صلاحياتها، وإنشاء مجلدات جديدة، ورفع ملفات من أجهزتهم.
الباحثة Puja Srivastava من Sucuri أكدت أن هذه الحملة مرتبطة بجهة ناطقة بالتركية، وتستهدف تحسين ترتيب مواقع مرتبطة بشبكات المدونات الخاصة (PBN) في مجالات مثل المقامرة والمحتوى الإباحي، عبر حقن روابط مخفية تؤثر مباشرة على تصنيف المواقع في نتائج البحث.
