تشهد مواقع ووردبريس موجة من الهجمات السيبرانية بعد اكتشاف ثغرة أمنية خطيرة في إضافة King Addons for Elementor، حيث يتم استغلالها بشكل نشط من قبل مهاجمين غير مصرح لهم لإنشاء حسابات إدارية والسيطرة الكاملة على المواقع المستهدفة. الثغرة تحمل الرمز CVE-2025-8489 وحصلت على تقييم خطورة مرتفع جدًا (CVSS 9.8).
تفاصيل الثغرة الأمنية
تكمن المشكلة في وظيفة handle_register_ajax() المسؤولة عن تسجيل المستخدمين، حيث لم يتم تقييد الأدوار بشكل صحيح، مما سمح للمهاجمين بتحديد دور “administrator” في طلب HTTP موجه إلى المسار /wp-admin/admin-ajax.php. هذا الخلل يتيح لهم الحصول على صلاحيات إدارية دون الحاجة إلى تسجيل دخول مسبق. الثغرة أثرت على الإصدارات من 24.12.92 حتى 51.1.14، بينما تم إصلاحها في الإصدار 51.1.35 بتاريخ 25 سبتمبر 2025، بعد أن أبلغ عنها الباحث الأمني Peter Thaleikis. الإضافة لديها أكثر من 10,000 تثبيت نشط، ما يجعل نطاق الاستهداف واسعًا.
حجم الهجمات والاستغلال النشط
وفقًا لشركة Wordfence، فقد تم رصد أكثر من 48,400 محاولة استغلال منذ الإعلان عن الثغرة في أكتوبر 2025، بينها 75 محاولة خلال آخر 24 ساعة فقط. الهجمات بدأت بشكل فردي في نهاية أكتوبر، لكنها تحولت إلى استغلال جماعي واسع النطاق اعتبارًا من 9 نوفمبر 2025. الهجمات مصدرها عدة عناوين IP، منها:
- 45.61.157.120
- 182.8.226.228
- 138.199.21.230
- 206.238.221.25
- 2602:fa59:3:424::1
المخاطر على المواقع المستهدفة
نجاح الاستغلال يمنح المهاجمين القدرة على رفع شيفرات خبيثة، زرع برمجيات ضارة، إعادة توجيه الزوار إلى مواقع مشبوهة، أو حقن محتوى دعائي غير مرغوب فيه. هذه السيطرة الكاملة على الموقع قد تؤدي إلى خسائر مالية وتشويه السمعة، خاصة للمواقع التجارية أو الإخبارية التي تعتمد على ثقة المستخدمين.
توصيات لحماية المواقع
ينصح خبراء الأمن جميع مديري المواقع بالتالي:
- التحديث الفوري إلى الإصدار 51.1.35 أو أحدث.
- مراجعة قائمة المستخدمين للتأكد من عدم وجود حسابات إدارية مشبوهة.
- مراقبة النشاط غير المعتاد داخل لوحة التحكم.
- استخدام إضافات أمنية موثوقة مثل Wordfence لتعزيز الحماية ضد محاولات الاستغلال.
