هجمات إلكترونية تستهدف ثغرة في إضافة Gravity SMTP لووردبريس وتكشف مفاتيح API السرية

يشهد مجتمع مستخدمي منصة ووردبريس موجة من الهجمات الإلكترونية تستغل ثغرة أمنية تم اكتشافها مؤخراً في إضافة Gravity SMTP الشهيرة، التي تُستخدم لإدارة خدمات البريد الإلكتروني على نحو مئة ألف موقع إلكتروني حول العالم. وقد كشفت التقارير الأمنية أن المهاجمين نجحوا في استغلال هذه الثغرة لانتزاع بيانات حساسة للغاية، من بينها مفاتيح واجهات برمجية API ورموز المصادقة OAuth، مما يضع أصحاب المواقع في مواجهة مباشرة مع مخاطر أمنية بالغة الخطورة.

تفاصيل الثغرة الأمنية وكيفية استغلالها

جرى تصنيف الثغرة تحت المعرف CVE-2026-4020 بدرجة خطورة متوسطة بلغت 5.3 على مقياس CVSS، وهي تندرج ضمن فئة ثغرات الإفصاح عن المعلومات. ويكمن جوهر المشكلة في نقطة نهاية REST API مسجلة على المسار التالي:

wp-json/gravitysmtp/v1/tests/mock-data/

وقد أوضحت شركة Wordfence المتخصصة في أمن ووردبريس أن هذه النقطة تحمل دالة تحقق من الصلاحيات تُعيد قيمة “صحيح” دون أي تحقق فعلي، مما يجعلها مفتوحة أمام أي زائر غير مصادق عليه. وحين يُضاف إليها المعامل page=gravitysmtp-settings، تستجيب الإضافة بإرجاع ما يقارب 365 كيلوبايت من بيانات JSON تحتوي على تقرير النظام الكامل.

وتشمل البيانات التي يمكن اختراقها إصدار PHP ونوع خادم الويب ومسار الملفات الجذرية ونوع قاعدة البيانات وإصدارها وإصدار ووردبريس، فضلاً عن قائمة بجميع الإضافات النشطة والقوالب المستخدمة وأسماء جداول قاعدة البيانات وتفاصيل إعدادات ووردبريس. والأخطر من ذلك أن البيانات المُسرَّبة تتضمن مفاتيح API الحية المرتبطة بخدمات بريدية من أبرزها Amazon SES وGoogle وMailjet وResend وZoho.

أرقام صادمة ومحاولات اختراق بالملايين

الأرقام التي رصدتها Wordfence تكشف حجم الاستغلال الفعلي لهذه الثغرة؛ إذ تجاوزت محاولات الاختراق المرصودة 17 مليون محاولة منذ مطلع مايو 2026، قبل أن تشهد قفزة حادة في الثامن من يونيو الجاري لتتجاوز 4 ملايين طلب في يوم واحد فقط. وتنطلق هذه الهجمات من عناوين IP محددة أغلبها ينتمي إلى شبكات يُشتبه في ارتباطها بجهات إجرامية منظمة، من بينها 45.148.10.95 و193.32.162.60 و176.65.148.139 و173.199.90.188 وعناوين أخرى تتكرر في سجلات الهجوم.

وتجدر الإشارة إلى أن أسلوب الهجوم في غاية البساطة التقنية؛ إذ يكفي إرسال طلب HTTP GET عادي إلى نقطة النهاية الضعيفة مُضافاً إليه المعامل المذكور لاستخراج كل هذه المعلومات دون الحاجة إلى أي مصادقة أو صلاحيات خاصة، وهو ما يجعله متاحاً حتى لمهاجمين من مستويات تقنية متدنية.

الخطر الحقيقي يتجاوز مجرد تسريب البيانات

قد يبدو للوهلة الأولى أن تصنيف الثغرة بدرجة “متوسطة” يُقلل من شأنها، غير أن خبراء Wordfence يؤكدون أن الخطر الفعلي يتجاوز هذا التصنيف بكثير. فالحصول على مفاتيح API لخدمات البريد الإلكتروني يُمكّن المهاجمين من إرسال رسائل بريدية باسم الموقع المخترق، مما يفتح الباب أمام حملات تصيد احتيالي واسعة النطاق أو إرسال رسائل مزيفة لعملاء الموقع وإلحاق أضرار جسيمة بسمعته.

علاوة على ذلك، يُشكّل التقرير الشامل للنظام الذي تكشفه الثغرة أرضية خصبة لتخطيط هجمات متقدمة لاحقة؛ إذ يمنح المهاجم صورة كاملة عن البنية التقنية للموقع، بما يسمح له باستهداف نقاط ضعف محددة في إصدارات البرمجيات المستخدمة أو الإضافات المنصوبة. وهنا تكمن الخطورة الحقيقية لثغرات الإفصاح عن المعلومات التي يُستهان بها أحياناً مقارنة بثغرات الاختراق المباشر.

ما يجب على أصحاب المواقع فعله فوراً

أصدرت Gravity SMTP تحديثاً أمنياً طارئاً في الإصدار 2.1.5 يُعالج هذه الثغرة تحديداً، وتنصح Wordfence جميع أصحاب المواقع بالتحديث الفوري دون أي تأخير. وبما أن الهجمات بدأت قبل إصدار التحديث، فإن كل موقع كان يستخدم إصداراً سابقاً ويعتمد تكاملات بريدية خارجية يجب أن يفترض تعرضه للاختراق وأن يتصرف وفق ذلك.

ويتضمن ذلك تدوير جميع مفاتيح API المرتبطة بالإضافة وإنشاء مفاتيح جديدة لخدمات مثل Amazon SES وGoogle وMailjet والخدمات الأخرى، ومراجعة سجلات الخادم بحثاً عن طلبات قادمة من عناوين IP المشبوهة المذكورة أعلاه، والتحقق من سجلات إرسال البريد الإلكتروني لاكتشاف أي نشاط غير مألوف.

محمد وهبى
محمد وهبى
المقالات: 1235

اترك ردّاً

لن يتم نشر عنوان بريدك الإلكتروني. الحقول الإلزامية مشار إليها بـ *


The reCAPTCHA verification period has expired. Please reload the page.