CVE-2026-41471: ثغرة تسريب المعلومات في إضافة Easy PayPal Events & Tickets لبريس

◎مقدمة

تُعتبر ثغرة تسريب المعلومات في إضافة Easy PayPal Events & Tickets لمنصة بريس واحدة من الثغرات الأمنية التي تم اكتشافها مؤخرًا. تُصنف هذه الثغرة على أنها ثغرة عالية الخطورة، حيث يمكن للمهاجمين غير المصرح لهم الوصول إلى سجلات الطلبات للعملاء دون الحاجة إلى مصادقة أو معرفة مسبقة بالمعرفات الخاصة بالطلبات.

◎تفاصيل الثغرة

تتعلق هذه الثغرة بنقطة نهاية مسح رمز الاستجابة السريعة (QR) في الإضافة، حيث يمكن للمهاجمين استخدامها لاستخراج سجلات الطلبات للعملاء من قاعدة البيانات. يتم ذلك من خلال التكرار على معرفات المنشورات المتسلسلة في دبريس عبر نقطة نهاية scan_qr.php، مما يسمح للمهاجمين بجمع مجموعة كاملة من الطلبات المخزنة في قاعدة البيانات دون الحاجة إلى مصادقة أو معرفة مسبقة بالمعرفات الخاصة بالطلبات.

◎الأنظمة والنسخ المتأثرة

تأثرت إصدارات الإضافة Easy PayPal Events & Tickets للور्डبريس 1.3 وأقل من ذلك. وقد تم إغلاق هذه الإضافة رسميًا اعتبارًا من 18 مارس 2026.

◎خطوات التصحيح للأدمنز في السعودية

نوصي الأدمنز في السعودية باتخاذ الإجراءات التالية لحماية مواقعهم:

• تحديث إضافة Easy PayPal Events & Tickets إلى الإصدار الأخير المتاح.
• إزالة الإضافة إذا لم تكن قيد الاستخدام.
• مراجعة سجلات الطلبات للعملاء للتأكد من عدم وجود أي تعديلات غير مصرح بها.
• التأكد من تطبيق إجراءات الأمان اللازمة لمنع الوصول غير المصرح به إلى قاعدة البيانات.

◎السياق السعودي

تُعد هذه الثغرة مشكلة أمنية خطيرة يمكن أن تؤثر على المواقع الإلكترونية في السعودية، خاصة تلك التي تستخدم منصة بريس. ويشدد هيئة الاتصالات وتقنية المعلومات (CITC) على أهمية الحفاظ على أمان المعلومات وضمان حماية البيانات الشخصية.

◎مخاطر الاستغلال

يمكن للمهاجمين استغلال هذه الثغرة لاستخراج سجلات الطلبات للعملاء، مما قد يؤدي إلى فقدان البيانات الشخصية وانتهاك خصوصية العملاء. ويمكن أن تؤدي هذه الثغرة أيضًا إلى تدهور سمعة الموقع الإلكتروني وتأثيره على العملاء.