# ثغرة CVE-2026-2554 في إضافة WCFM لـ WordPress تسمح بحذف المستخدمين عبر IDOR

- CVE: CVE-2026-2554
- Severity: HIGH
- CVSS: 8.1
- Article: https://www.4jawaly.com/ar/post/cve-2026-2554-wcfm-wordpress-idor-user-deletion/

---

تؤثر CVE-2026-2554 على إضافة WCFM – Frontend Manager for WooCommerce في WordPress حتى الإصدار 6.7.25.
سببها IDOR ناتج عن غياب التحقق من المفتاح customerid داخل الإجراء wcfm_delete_wcfm_customer.
يمكن لمستخدم موثّق بصلاحية Vendor أو أعلى حذف مستخدمين عشوائيين، بما في ذلك Administrators.

## التحليل التقني

## بحسب الوصف المنشور، تعاني إضافة WCFM – Frontend Manager for WooCommerce along with Bookings Subscription Listings Compatible plugin for WordPress من ثغرة Insecure Direct Object Reference مصنفة تحت CWE-639. سبب المشكلة هو غياب التحقق من قيمة customerid التي يتحكم بها المستخدم داخل الإجراء wcfm_delete_wcfm_customer.

الأثر المباشر هو تمكين مهاجم موثّق يملك صلاحية Vendor أو أعلى من حذف مستخدمين عشوائيين من الموقع، بما في ذلك حسابات Administrator. في بيئات استضافة المتاجر الإلكترونية وWordPress متعدد البائعين، هذا النوع من الخلل يمس إدارة الموقع مباشرة، لأنه قد يؤدي إلى حذف حسابات الإدارة أو حسابات تشغيلية مهمة، وبالتالي تعطيل الوصول الإداري أو إرباك إدارة المتجر.

تاريخ النشر المذكور هو 2026-05-02 14:16:17، والإصدارات المتأثرة هي جميع الإصدارات حتى 6.7.25 شاملًا.

المراجع المتاحة: مرجع الكود، مرجع التعديل، مرجع Wordfence.

CVE-2026-2554 · WordPress · HIGH

## درجة الخطورة

## درجة الخطورة المعلنة هي 8.1 من 10 بتصنيف HIGH. هذا المستوى مبرر لأن الاستغلال لا يتطلب وصول Administrator، بل يكفي حساب موثّق بصلاحية Vendor أو أعلى. في سياق استضافة مواقع WooCommerce، هذا يرفع الخطر خصوصًا في المتاجر التي تمنح حسابات Vendor لعدة أطراف، لأن حذف المستخدمين قد يؤثر مباشرة على استمرارية الإدارة والتشغيل.

## هل تم استغلالها؟

## بحسب البيانات المتاحة هنا، الثغرة غير مدرجة في KEV. كذلك لا تتضمن المعطيات المقدمة إشارة إلى استغلال نشط أو حملة استغلال علنية، لذلك لا يمكن الجزم بوجود استغلال فعلي اعتمادًا على هذه البيانات وحدها.

## الحل والإصلاح

## الإجراء الأساسي هو التحقق من وجود الإضافة والإصدار المثبّت على الموقع. أي إصدار حتى 6.7.25 يُعد متأثرًا وفق الوصف المنشور، لذلك يجب التحديث إلى إصدار أحدث من 6.7.25. إذا تعذر التحديث فورًا، فالتخفيف العملي هو تعطيل الإضافة مؤقتًا حتى تنفيذ التحديث، مع مراجعة حسابات Vendor والمستخدمين المحذوفين أو المتأثرين.

تحقق من وجود الإضافة على الموقع:

📋 نسخwp plugin list --path=/path/to/wordpress | grep wc-frontend-managerاعرض الإصدار المثبّت للتأكد مما إذا كان ضمن النطاق المتأثر:

📋 نسخwp plugin get wc-frontend-manager --field=version --path=/path/to/wordpressحدّث الإضافة إلى إصدار أحدث من 6.7.25:

📋 نسخwp plugin update wc-frontend-manager --path=/path/to/wordpressإذا لم يكن التحديث متاحًا أو أردت تقليل المخاطر فورًا، عطّل الإضافة مؤقتًا:

📋 نسخwp plugin deactivate wc-frontend-manager --path=/path/to/wordpressللمراجعة السريعة بعد الاشتباه في الاستغلال، اعرض المستخدمين وصلاحياتهم للتحقق من أي حذف غير متوقع:

📋 نسخwp user list --fields=ID,user_login,roles --path=/path/to/wordpress

## الخلاصة والتوصية

## ثغرة CVE-2026-2554 مهمة لمديري استضافة WordPress وWooCommerce لأنها تسمح لحساب Vendor موثّق بحذف مستخدمين عشوائيين، بما في ذلك Administrators. الأولوية العملية هي حصر المواقع التي تستخدم الإضافة، التحقق من الإصدار، ثم التحديث إلى إصدار أحدث من 6.7.25 أو تعطيل الإضافة مؤقتًا حتى إتمام المعالجة.

## 📎 ملفات التحميل

## 📄 English Security Advisory - تقرير احترافي للمختصين

📝 Technical README (Markdown) - وثائق تقنية للفرق الداخلية

CVE-2026-2554 · CVSS: 8.1 (HIGH) · CWE-639 ·