◎CVE-2026-7482: ثغرة أمنية حرجة في Ollama قبل الإصدار 0.17.1
تم اكتشاف ثغرة أمنية حرجة في إصدارات Ollama قبل 0.17.1، وهي ثغرة من نوع قراءة خارج الحدود في كومة الذاكرة. يمكن أن يحدث هذا الخلل عند تحميل ملف GGUF من خلال نقطة النهاية /api/create، حيث يمكن للمهاجم تزويد ملف GGUF يحتوي على إزاحة و tensor يتجاوزان طول الملف الفعلي.
تحدث الثغرة أثناء عملية الكمية في الملفات fs/ggml/gguf.go وserver/quantization.go (WriteTo())، حيث تقرأ الخادم البيانات خارج الحدود المحددة للذاكرة. يمكن أن تشمل المحتوى المخزن في الذاكرة البيانات الحساسة مثل متغيرات البيئة، مفاتيح API، بيانات محادثات المستخدمين، وغيرها.
يمكن للمهاجم استغلال هذه الثغرة عن طريق تحميل الملف الناتج من عملية الكمية إلى سجل خارجي يسيطر عليه، مما يسمح له بسرقة البيانات الحساسة.
الأنظمة المتأثرة
تأثر إصدارات Ollama قبل 0.17.1 بهذه الثغرة الأمنية. يُشجع المسؤولون على تحديث إصدار Ollama إلى الإصدار 0.17.1 أو أحدث ل هذه الثغرة.
الإجراءات الموصى بها للمسؤولين السعوديين
نوصي المسؤولين السعوديين باتخاذ الإجراءات التالية لحماية أنظمتهم:
تحديث إصدار Ollama إلى 0.17.1 أو أحدث.
تأكيد أمان نقاط النهاية /api/create و/api/push.
استخدام جدران الحماية لمنع الوصول غير المصرح به إلى الأنظمة.
مراقبة السجلات الأمنية بانتظام لاكتشاف أي محاولات لاستغلال الثغرة.
السياق السعودي
تنطبق هذه الثغرة الأمنية على الأنظمة التي تستخدم Ollama في المملكة العربية السعودية. يُشجع المسؤولون على اتباع إرشادات الهيئة السعودية للاتصالات وتقنية المعلومات (CITC) للحفاظ على أمان الأنظمة.
مخاطر الاستغلال
يمكن للمهاجمين استغلال هذه الثغرة لسرقة البيانات الحساسة، مما قد يؤدي إلى مخاطر أمنية كبيرة. يُشجع المسؤولون على اتخاذ الإجراءات اللازمة لحماية أنظمتهم وبياناتهم.
الأسئلة الأكثر شيوعاً
ما هي الثغرة الأمنية في Ollama؟
ثغرة أمنية حرجة في Ollama قبل الإصدار 0.17.1، يمكن أن تؤدي إلى قراءة خارج الحدود في كومة الذاكرة.
كيف يمكن استغلال الثغرة الأمنية؟
يمكن للمهاجم استغلال هذه الثغرة عن طريق تحميل الملف الناتج من عملية الكمية إلى سجل خارجي يسيطر عليه، مما يسمح له بسرقة البيانات الحساسة.
ما هي الإجراءات الموصى بها للمسؤولين السعوديين؟
نوصي المسؤولين السعوديين باتخاذ الإجراءات التالية لحماية أنظمتهم: تحديث إصدار Ollama إلى 0.17.1 أو أحدث، تأكيد أمان نقاط النهاية /api/create و/api/push، استخدام جدران الحماية لمنع الوصول غير المصرح به إلى الأنظمة، ومراقبة السجلات الأمنية بانتظام لاكتشاف أي محاولات لاستغلال الثغرة.
أُعلن مؤخرًا عن ثغرة أمنية حرجة تحمل المعرّف CVE-2026-42088 تؤثر على منصة OpenC3 COSMOS، وهي منصة مفتوحة المصدر تُستخدم على نطاق واسع في إرسال الأوامر إلى الأنظمة المدمجة (Embedded Systems) واستقبال البيانات منها، وتُوظَّف في قطاعات حساسة مثل الفضاء، الطيران، الدفاع، والأبحاث العلمية. حصلت هذه الثغرة على تقييم CVSS 9.6 ضمن الفئة الحرجة، مما يجعلها من أخطر الثغرات التي ظهرت في هذا النوع من الأنظمة خلال الفترة الأخيرة.
تكتسب هذه الثغرة أهمية خاصة لدى مديري الاستضافة ومهندسي البنية التحتية في المملكة العربية السعودية ودول الخليج، لا سيما أولئك الذين يديرون بيئات مبنية على حاويات Docker وقواعد بيانات Redis، وهما المكونان المركزيان اللذان استُغلّا في هذه الثغرة.
◎التفاصيل التقنية للثغرة
تنشأ الثغرة في منصة OpenC3 COSMOS في الإصدارات السابقة لـ 7.0.0-rc3، تحديدًا داخل مكوّن Script Runner، وهو أداة تسمح للمستخدمين بتنفيذ نصوص برمجية بلغتي Python وRuby مباشرةً من حاوية openc3-COSMOS-script-runner-api.
المشكلة الجوهرية أن جميع حاويات Docker الخاصة بالمنصة تتشارك نفس شبكة Docker الداخلية (Docker Network)، مما يعني أن أي مستخدم لديه صلاحية تشغيل السكربتات يمكنه صياغة سكربت مخصّص يتجاوز طبقة فحص الصلاحيات في الـ API ويتصل مباشرةً بأي خدمة داخل الشبكة، ومنها:
قاعدة بيانات Redis: قراءة وتعديل البيانات الحساسة، بما فيها الأسرار (Secrets) وإعدادات COSMOS.
خدمة Buckets: قراءة وكتابة ملفات الإعدادات والسجلات (Logs) وملفات الإضافات (Plugins).
خدمات إدارية أخرى: كانت في الأصل مقتصرة على لوحة الإدارة (Admin Console) أو على المستخدمين ذوي الصلاحيات الإدارية.
تصنّف هذه الثغرة ضمن CWE-250 (Execution with Unnecessary Privileges)، أي تنفيذ العمليات بامتيازات أعلى من اللازم، وهي من أخطر فئات الضعف الأمني، إذ تسمح بالتحايل على حدود الصلاحيات بين مكونات النظام.
◎سيناريو الاستغلال
لنفترض أن مؤسسة سعودية تشغّل منصة OpenC3 COSMOS لإدارة أقمار صناعية صغيرة (CubeSats) أو أنظمة قياس تليمتري. في الوضع الطبيعي، يُمنح بعض المهندسين صلاحية كتابة وتشغيل السكربتات من أجل المهام التشغيلية اليومية، دون أن تكون لديهم صلاحيات إدارية.
وفق هذه الثغرة، يستطيع أي مهندس (أو مهاجم حصل على حسابه) كتابة سكربت Python بسيط يتصل مباشرةً بعنوان Redis الداخلي داخل شبكة Docker:
استخراج مفاتيح التشفير والأسرار المخزّنة.
تعديل إعدادات المنصة لتعطيل آليات الحماية.
رفع ملفات إضافات خبيثة إلى خدمة Buckets لتُنفَّذ لاحقًا بصلاحيات عالية.
الوصول إلى سجلات العمليات وحذفها لإخفاء الآثار.
النتيجة: تصعيد كامل للصلاحيات (Privilege Escalation) من مستخدم عادي إلى مدير نظام، مع إمكانية تعطيل العمليات الحرجة أو تسريب بيانات حساسة.
◎الأنظمة والإصدارات المتأثرة
المنتج: OpenC3 COSMOS
الإصدارات المتأثرة: جميع الإصدارات السابقة لـ 7.0.0-rc3
الإصدار الآمن: 7.0.0-rc3 فما فوق (ويُنصح بالترقية إلى 7.0.0 المستقرة)
المكونات المتأثرة: Script Runner API، شبكة Docker الداخلية، Redis، خدمة Buckets
◎تقييم الخطورة والتأثير
بتقييم CVSS يبلغ 9.6، تُعدّ هذه الثغرة حرجة للأسباب التالية:
سهولة الاستغلال: لا تتطلب سوى صلاحية تشغيل السكربتات، وهي صلاحية شائعة للمستخدمين العاديين.
تأثير واسع: يشمل السرية (قراءة الأسرار)، والسلامة (تعديل الإعدادات)، والتوفّر (تعطيل الخدمات).
إمكانية الحركة الجانبية (Lateral Movement): الوصول إلى جميع الخدمات داخل شبكة Docker المشتركة.
صعوبة الاكتشاف: الاتصال يتم من داخل الشبكة الموثوقة، مما يُضعف فاعلية أنظمة كشف التسلل التقليدية.
◎الإجراءات الموصى بها لمديري الاستضافة في السعودية
1. الترقية الفورية
الحل الرسمي هو الترقية إلى الإصدار OpenC3 COSMOS 7.0.0-rc3 أو أحدث. يُنصح بما يلي:
مراجعة ملاحظات الإصدار على صفحة الإصدار الرسمية.
إجراء نسخة احتياطية كاملة من إعدادات Redis وملفات Buckets قبل الترقية.
اختبار الترقية في بيئة تجريبية (Staging) قبل تطبيقها على الإنتاج.
2. الإجراءات الاحترازية المؤقتة
في حال تعذّر الترقية الفورية، يمكن تطبيق الإجراءات التالية:
تقييد صلاحيات Script Runner: سحب صلاحية تشغيل السكربتات من جميع المستخدمين غير الإداريين.
عزل شبكات Docker: فصل حاوية Script Runner في شبكة Docker مستقلة عن حاويات Redis وBuckets.
تمكين مصادقة Redis: ضبط كلمة مرور قوية عبر requirepass وتفعيل Redis ACLs للحد من الأوامر المتاحة.
مراقبة السجلات: تفعيل التسجيل الكامل لجميع العمليات داخل Script Runner وتحليلها دوريًا.
3. تعزيز حماية بيئة Docker
تطبيق مبدأ الامتيازات الأدنى (Least Privilege) على جميع الحاويات.
استخدام Docker Secrets بدلًا من متغيرات البيئة لتخزين البيانات الحساسة.
تفعيل Network Policies داخل Kubernetes إن وُجد.
مراجعة سياسات Seccomp وAppArmor للحاويات.
4. مراجعة السجلات بحثًا عن دلائل اختراق
يجب على فرق الأمن في المؤسسات السعودية فحص:
سجلات Script Runner بحثًا عن سكربتات تتضمن اتصالات شبكية غير معتادة.
سجلات Redis بحثًا عن أوامر CONFIG GET، KEYS *، أو FLUSHALL غير المألوفة.
سجلات Buckets بحثًا عن رفع ملفات مشبوهة أو تعديلات على ملفات الإضافات.
◎السياق المحلي: المملكة العربية السعودية
تمتلك المملكة العربية السعودية استثمارات متنامية في قطاع الفضاء والاتصالات الفضائية، مدعومة من الهيئة السعودية للفضاء وهيئة الاتصالات والفضاء والتقنية (CST/CITC). كما أن رؤية 2030 تدفع نحو توطين التقنيات المتقدمة، بما فيها منصات التحكم والتليمتري المفتوحة المصدر مثل OpenC3 COSMOS.
وبناءً على الإطار التنظيمي السعودي، تُلزم الضوابط الأساسية للأمن السيبراني (ECC-1:2018) الصادرة عن الهيئة الوطنية للأمن السيبراني (NCA) المؤسسات الوطنية بـ:
إدارة الثغرات وسد القصور خلال فترة زمنية محددة وفقًا لدرجة الخطورة.
تطبيق مبدأ الفصل بين البيئات وتقييد الصلاحيات.
مراقبة الأحداث الأمنية والاستجابة للحوادث.
كما أن اللائحة التنفيذية لـ نظام حماية البيانات الشخصية (PDPL) تُلزم الجهات بحماية البيانات المستضافة في مراكز البيانات المحلية، وأي اختراق لمنصة تحكم كهذه قد يُشكّل انتهاكًا يستوجب الإبلاغ.
يُنصح مديرو الاستضافة في مراكز البيانات السعودية — سواء لدى مزودي الخدمات الوطنيين أو السحابات المحلية مثل سحابة STC، Mobily، أو سحابة الوطنية (NCloud) — بإصدار تعميم داخلي فوري للعملاء الذين يشغّلون OpenC3 COSMOS، وتقديم الدعم الفني لترقية البيئات المتأثرة.
◎الدروس المستفادة
تُذكّرنا هذه الثغرة بأن الثقة الضمنية داخل شبكات Docker تمثّل خطرًا حقيقيًا. فكثير من فرق التطوير تفترض أن الخدمات الداخلية للشبكة آمنة بحكم عدم تعرّضها للإنترنت، متجاهلةً أن أي مكوّن قابل للتحكم من قِبل المستخدم (مثل Script Runner) يمكن أن يتحوّل إلى نقطة انطلاق للهجوم.
من أفضل الممارسات:
تطبيق نموذج Zero Trust حتى داخل الشبكات الخاصة.
استخدام mTLS بين الخدمات الداخلية.
فرض مصادقة قوية على جميع قواعد البيانات الداخلية، بما فيها Redis.
إجراء اختبارات اختراق دورية تشمل سيناريوهات التصعيد الجانبي داخل Docker.
◎خدمات 4jawaly الداعمة للأمن السيبراني
في فورجوالي (4jawaly)، وبصفتنا شركة سعودية مرخّصة من هيئة الاتصالات والفضاء والتقنية (CITC برقم 291-10-32) وحاصلة على شهادة ISO 27001، نقدّم خدمات استضافة آمنة وحلول تنبيه فوري عبر الرسائل النصية وWhatsApp Business API، مما يساعد فرق الأمن على:
إرسال تنبيهات فورية لفريق الاستجابة للحوادث عند اكتشاف ثغرات حرجة.
إشعار العملاء والمستخدمين بنوافذ الصيانة اللازمة لتطبيق التصحيحات.
أتمتة الإشعارات الأمنية عبر روبوتات الدردشة الذكية المبنية على الذكاء الاصطناعي.
◎خاتمة
تُعدّ ثغرة CVE-2026-42088 تذكيرًا حازمًا بأهمية تطبيق مبدأ الامتيازات الأدنى وعدم الوثوق في عزل الشبكات وحده. على جميع المؤسسات السعودية التي تستخدم OpenC3 COSMOS أن تُسارع بالترقية إلى الإصدار 7.0.0-rc3 أو أحدث، مع مراجعة شاملة لبيئات Docker وRedis لديها، وتطبيق طبقات الحماية الإضافية قبل أن يُستغلّ الضعف من قِبل جهات خبيثة داخلية أو خارجية.
الأسئلة الأكثر شيوعاً
ما هي ثغرة CVE-2026-42088 باختصار؟
هي ثغرة حرجة في منصة OpenC3 COSMOS قبل الإصدار 7.0.0-rc3، تسمح لأي مستخدم لديه صلاحية تشغيل السكربتات بتجاوز فحوصات صلاحيات الـ API والوصول مباشرةً إلى Redis وخدمات Docker الداخلية، وتنفيذ عمليات إدارية بما فيها قراءة الأسرار وتعديل الإعدادات.
كيف أعرف إن كانت بيئتي متأثرة؟
إذا كنت تستخدم OpenC3 COSMOS بأي إصدار سابق لـ 7.0.0-rc3 وتعتمد على نشر Docker الافتراضي بشبكة مشتركة بين الحاويات، فبيئتك متأثرة. راجع وسم الإصدار عبر الأمر docker image ls أو من لوحة الإدارة.
ما الإجراء الفوري المطلوب؟
الترقية إلى الإصدار 7.0.0-rc3 أو أحدث (يفضّل 7.0.0 المستقرة). وحتى إتمام الترقية، قم بسحب صلاحية Script Runner من المستخدمين غير الإداريين، وتفعيل مصادقة Redis عبر requirepass، وعزل الحاويات في شبكات Docker منفصلة.
هل تنطبق ضوابط الهيئة الوطنية للأمن السيبراني (NCA) على معالجة هذه الثغرة؟
نعم، تُلزم الضوابط الأساسية للأمن السيبراني ECC-1:2018 الجهات الوطنية بإدارة الثغرات ضمن جدول زمني محدد حسب الخطورة، وبما أن هذه الثغرة حرجة (CVSS 9.6) فيجب معالجتها بأسرع وقت، مع توثيق الإجراءات المتخذة.
كيف يمكن لخدمات 4jawaly مساعدتي في إدارة الحادث؟
توفّر 4jawaly خدمات تنبيه فوري عبر SMS وWhatsApp Business API لإشعار فرق الاستجابة للحوادث والعملاء بنوافذ الصيانة، بالإضافة إلى استضافة آمنة متوافقة مع ISO 27001 ومرخّصة من CITC لدعم البنية التحتية الحساسة.
◎CVE-2023-54342: ثغرة تنفيذ عن بعد في Eclipse Equinox OSGi
تُعتبر ثغرة CVE-2023-54342 من الثغرات الحرجة التي تم اكتشافها في إصدارات Eclipse Equinox OSGi من 3.8 إلى 3.18. وتسمح هذه الثغرة للمهاجمين الغير مصرح لهم بتنفيذ عن بعد من خلال واجهة التحكم في نظام OSGi.
يمكن للمهاجمين استغلال هذه الثغرة عن طريق إقامة اتصال telnet بالواجهة وتنفيذ أوامر fork لتحميل وتنفيذ كود جافا خبيث، مما يؤدي إلى إنشاء اتصال shell عكسي.
النظم المتأثرة
تتأثر الإصدارات التالية من Eclipse Equinox OSGi بهذه الثغرة:
الإصدار 3.8
الإصدار 3.9
الإصدار 3.10
الإصدار 3.11
الإصدار 3.12
الإصدار 3.13
الإصدار 3.14
الإصدار 3.15
الإصدار 3.16
الإصدار 3.17
الإصدار 3.18
الإجراءات الموصى بها
نوصي مسؤولي الاستضافة في المملكة العربية السعودية باتخاذ الإجراءات التالية:
تحديث إصدار Eclipse Equinox OSGi إلى الإصدار الأخير
تعطيل واجهة التحكم في نظام OSGi إذا لم تكن مطلوبة
استخدام جدران الحماية لمنع اتصالات telnet الغير مصرح بها
مراقبة السجلات لاكتشاف أي محاولات لاستغلال الثغرة
السياق السعودي
تُعتبر هذه الثغرة تهديداً كبيراً لأمان الأنظمة في المملكة العربية السعودية، حيث يمكن للمهاجمين استغلالها لتنفيذ هجمات خبيثة على الأنظمة الحساسة.
نوصي مسؤولي الاستضافة بالتعاون مع هيئة الاتصالات وتقنية المعلومات (CITC) لضمان أمان الأنظمة وتحديث الإصدارات المتأثرة.
مخاطر الاستغلال
تُعتبر مخاطر استغلال هذه الثغرة عالية جداً، حيث يمكن للمهاجمين تنفيذ كود خبيث عن بعد واختراق الأنظمة الحساسة.
نوصي مسؤولي الاستضافة بتحديث الإصدارات المتأثرة على الفور واتخاذ الإجراءات الموصى بها لمنع استغلال هذه الثغرة.
الأسئلة الأكثر شيوعاً
ما هي الثغرة CVE-2023-54342؟
ثغرة تنفيذ عن بعد في Eclipse Equinox OSGi
كيف يمكن استغلال هذه الثغرة؟
يمكن استغلالها عن طريق إقامة اتصال telnet بالواجهة وتنفيذ أوامر fork
ما هي الإجراءات الموصى بها؟
تحديث إصدار Eclipse Equinox OSGi إلى الإصدار الأخير، تعطيل واجهة التحكم في نظام OSGi، استخدام جدران الحماية، ومراقبة السجلات
في يوم 2026-05-05، تم الإعلان عن ثغرة أمنية حرجة في إضافة Geeky Bot لمنصة ووردبريس، والتي تؤثر على جميع الإصدارات حتى 1.2.2. هذه الثغرة تتيح للمهاجمين غير المصرح لهم تنفيذ أي شفرة برمجية عن بُعد.
◎تفاصيل الثغرة
تُعرف هذه الثغرة باسم CVE-2026-5294، وتصنف على أنها حرجة مع درجة CVSS تبلغ 9.8. وهي ناتجة عن عدم وجود تصريح مناسب في إحدى مسارات AJAX، مما يسمح للمهاجمين بتحميل وتثبيت أي إضافة برمجية في مجلد wp-content/plugins/.
◎الأنظمة المتأثرة
جميع إصدارات إضافة Geeky Bot حتى 1.2.2 متأثرة بهذه الثغرة.
◎الخطوات الضرورية لمسؤولي الاستضافة السعودية
نوصي مسؤولي الاستضافة السعودية باتخاذ الإجراءات التالية:
تحديث إضافة Geeky Bot إلى الإصدار الأخير.
تثبيت إضافات أمان إضافية لمنصة ووردبريس.
مراقبة السجلات الأمنية بانتظام.
◎السياق السعودي
هذه الثغرة تهدد جميع مواقع ووردبريس السعودية، و تلك التي تستضيفها شركات الاستضافة المحلية. وينصح الهيئة السعودية للاتصالات وتقنية المعلومات (CITC) جميع مسؤولي الاستضافة بتحديث إضافاتهم وتعزيز أمان مواقعهم.
◎مخاطر الاستغلال
إذا لم يتم إصلاح هذه الثغرة، فقد يؤدي ذلك إلى استغلالها من قبل المهاجمين لتنفيذ شفرة برمجية ضارة، مما قد يؤدي إلى سرقة البيانات أو تدمير الموقع.
الأسئلة الأكثر شيوعاً
ما هي الثغرة الأمنية التي تم اكتشافها؟
ثغرة أمنية حرجة في إضافة Geeky Bot لمنصة ووردبريس.
كيف يمكنني حماية موقعي؟
تحديث إضافة Geeky Bot إلى الإصدار الأخير وتثبيت إضافات أمان إضافية.
ما هي مخاطر الاستغلال؟
استغلال المهاجمين للموقع لتنفيذ شفرة برمجية ضارة أو سرقة البيانات.
◎CVE-2025-13618: ثغرة امتياز في إضافة Mentoring لوردبريس
تم اكتشاف ثغرة أمنية حرجة في إضافة Mentoring لمنصة ووردبريس، وتحديداً في جميع الإصدارات حتى 1.2.8. هذه الثغرة تتيح للمهاجمين غير المصرح لهم تسجيل الدخول بامتيازات مسؤول النظام.
تعود هذه الثغرة إلى عدم تقييد الأدوار التي يمكن للمستخدمين التسجيل بها في الوظيفة mentoring_process_registration()، مما يسمح للمهاجمين غير المصرح لهم بامتيازات مسؤول النظام بالتسجيل في النظام.
الأنظمة المتأثرة
تأثر جميع إصدارات إضافة Mentoring لوردبريس حتى 1.2.8 بهذه الثغرة.
الخطورة
تُصنف هذه الثغرة على أنها حرجة، حيث يمكن للمهاجمين استخدامها للاستيلاء على النظام وتسجيل الدخول بامتيازات مسؤول النظام.
الإجراءات الموصى بها
نوصي جميع مسؤولي الاستضافة في السعودية بتحديث إضافة Mentoring لوردبريس إلى الإصدار الأخير، serta اتخاذ الإجراءات التالية:
تحديث إضافة Mentoring إلى الإصدار الأخير.
تقييد الأدوار التي يمكن للمستخدمين التسجيل بها.
مراقبة السجلات الأمنية للكشف عن أي محاولات لتسجيل الدخول غير مصرح بها.
السياق السعودي
تُعد هذه الثغرة تهديداً لأمان الأنظمة في المملكة العربية السعودية، حيث يمكن للمهاجمين استخدامها للاستيلاء على الأنظمة وتسجيل الدخول بامتيازات مسؤول النظام.
نوصي جميع مسؤولي الاستضافة في السعودية بالتعاون مع هيئة الاتصالات وتقنية المعلومات (CITC) لضمان أمان الأنظمة وتحديث الإضافات والأمن.
مخاطر الاستغلال
تُعد هذه الثغرة خطراً كبيراً على أمان الأنظمة، حيث يمكن للمهاجمين استخدامها للاستيلاء على الأنظمة وتسجيل الدخول بامتيازات مسؤول النظام.
نوصي جميع مسؤولي الاستضافة في السعودية بالاهتمام بهذه الثغرة وضمان تحديث الإضافات والأمن لمنع أي استغلال محتمل.
الأسئلة الأكثر شيوعاً
ما هي الثغرة الأمنية في إضافة Mentoring لوردبريس؟
ثغرة أمنية حرجة تتيح للمهاجمين غير المصرح لهم تسجيل الدخول بامتيازات مسؤول النظام.
كيف يمكنني حماية نظامي من هذه الثغرة؟
يمكنك تحديث إضافة Mentoring إلى الإصدار الأخير وتقييد الأدوار التي يمكن للمستخدمين التسجيل بها.
ما هي مخاطر استغلال هذه الثغرة؟
تُعد هذه الثغرة خطراً كبيراً على أمان الأنظمة، حيث يمكن للمهاجمين استخدامها للاستيلاء على الأنظمة وتسجيل الدخول بامتيازات مسؤول النظام.
كشفت أبحاث الأمن السيبراني الحديثة عن ثغرة أمنية حرجة تحمل المعرّف CVE-2025-13618 في إضافة Mentoring الشهيرة لنظام إدارة المحتوى ووردبريس (WordPress)، وهي إضافة تُستخدم على نطاق واسع في المواقع التعليمية ومنصات التدريب والإرشاد الإلكتروني. حصلت هذه الثغرة على درجة خطورة 9.8 من 10 وفقًا لمعيار CVSS v3.1، مما يضعها في خانة الثغرات الحرجة التي تستوجب التعامل الفوري من قِبل مسؤولي الأنظمة ومقدمي خدمات الاستضافة في المملكة العربية السعودية ودول الخليج.
تكمن خطورة هذه الثغرة في كونها تسمح لأي مهاجم غير مصادق عليه (Unauthenticated Attacker)، أي دون الحاجة إلى امتلاك حساب مسبق على الموقع، بتسجيل نفسه مباشرةً بصلاحيات مسؤول (Administrator)، وهي أعلى صلاحية متاحة في منظومة ووردبريس، مما يعني السيطرة الكاملة على الموقع وقواعد بياناته وكل المحتوى المرتبط به.
◎التفاصيل التقنية للثغرة CVE-2025-13618
تم تصنيف هذه الثغرة ضمن فئة CWE-269: Improper Privilege Management، وهي فئة تشير إلى الإدارة غير السليمة للصلاحيات داخل التطبيق. تنشأ الثغرة في الدالة mentoring_process_registration() المسؤولة عن معالجة طلبات التسجيل الجديدة في الإضافة.
آلية عمل الثغرة
بشكل طبيعي، ينبغي على أي نظام تسجيل آمن أن يُقيّد الأدوار (Roles) التي يمكن للمستخدم الجديد التسجيل بها، بحيث يُسمح فقط بالأدوار منخفضة الصلاحيات مثل مشترك (Subscriber) أو طالب (Student) أو مُرشِد (Mentor). لكن في الإصدارات المتأثرة من إضافة Mentoring، فشلت الدالة المذكورة في فرض هذا القيد بشكل صحيح، مما يعني أن المهاجم يستطيع تعديل طلب التسجيل (HTTP Request) يدويًا عبر إضافة حقل يحدد فيه دور administrator، فيقبل النظام هذا الإدخال دون تحقق.
خطوات استغلال محتملة (للتوعية فقط)
يقوم المهاجم بزيارة صفحة التسجيل العامة للموقع المستهدف.
يعترض طلب التسجيل باستخدام أدوات مثل Burp Suite أو OWASP ZAP.
يُضيف أو يُعدّل معامل الدور (role parameter) ليُصبح administrator.
يُرسل الطلب، فيُنشئ الموقع حسابًا جديدًا بصلاحيات كاملة.
يدخل المهاجم إلى لوحة التحكم /wp-admin ويسيطر على الموقع بالكامل.
◎الأنظمة والإصدارات المتأثرة
الإضافة المتأثرة: Mentoring Plugin for WordPress
الإصدارات المتأثرة: جميع الإصدارات من 1.0 حتى 1.2.8 (شاملة)
البيئة: أي موقع ووردبريس مُفعّل عليه هذه الإضافة مع تمكين التسجيل العام للمستخدمين
المنصة المصدر: القالب التجاري Mentoring – Education WordPress Theme من ThemeForest
تجدر الإشارة إلى أن القالب المرتبط بهذه الإضافة يحظى بشعبية كبيرة بين المؤسسات التعليمية والأكاديميات التدريبية والمنصات الاحترافية في المنطقة العربية، مما يُوسّع نطاق التأثير المحتمل بشكل كبير.
◎تأثير الثغرة ومخاطرها
السيطرة الكاملة على الموقع
بمجرد حصول المهاجم على صلاحيات المسؤول، يُصبح بإمكانه تنفيذ مجموعة واسعة من العمليات الخبيثة، منها:
رفع ملفات خبيثة (Web Shells): عبر محرر القوالب أو الإضافات، مما يُعطي المهاجم وصولًا دائمًا للخادم.
سرقة قواعد البيانات: بما في ذلك معلومات المستخدمين، كلمات المرور المُجزّأة، وبيانات الدفع.
تشويه الموقع (Defacement): تعديل المحتوى لأغراض سياسية أو دعائية.
حقن شيفرات تعدين العملات المشفرة أو برامج إعلانية خبيثة تستهدف الزوار.
استخدام الموقع كمنصة لهجمات التصيد (Phishing) ضد مؤسسات أخرى.
الانتشار الجانبي (Lateral Movement) للوصول إلى خوادم أخرى في نفس بيئة الاستضافة المشتركة.
المخاطر التنظيمية في السياق السعودي
في سياق المملكة العربية السعودية، حيث تُشرف هيئة الاتصالات والفضاء والتقنية (CST) — سابقًا هيئة الاتصالات وتقنية المعلومات (CITC) — على المحتوى الرقمي، وتفرض الهيئة الوطنية للأمن السيبراني (NCA) ضوابط صارمة ضمن الضوابط الأساسية للأمن السيبراني (ECC-1:2018)، فإن استغلال مثل هذه الثغرة قد يُعرّض المؤسسات لـ:
مخالفة نظام حماية البيانات الشخصية (PDPL) الصادر عن الهيئة السعودية للبيانات والذكاء الاصطناعي (سدايا)، خاصةً عند تسريب بيانات الطلاب أو المستخدمين.
غرامات مالية قد تصل إلى ملايين الريالات وفقًا لحجم الانتهاك.
الإضرار بسمعة المؤسسة التعليمية أو التدريبية.
تعطّل الخدمات المُرخّصة من CST.
◎الإجراءات الموصى بها لمسؤولي الاستضافة السعوديين
1. التحديث الفوري
قم بزيارة لوحة تحكم ووردبريس (wp-admin) وانتقل إلى قسم الإضافات، ثم حدّث إضافة Mentoring إلى أحدث إصدار متاح (أعلى من 1.2.8). إذا لم يتوفر تحديث رسمي بعد، فيُوصى بتعطيل الإضافة مؤقتًا.
2. التحقق من الحسابات المشبوهة
نفّذ الاستعلام التالي عبر phpMyAdmin أو سطر الأوامر MySQL للكشف عن حسابات مسؤولين غير معروفة:
SELECT ID, user_login, user_email, user_registered
FROM wp_users u
JOIN wp_usermeta m ON u.ID = m.user_id
WHERE m.meta_key = 'wp_capabilities'
AND m.meta_value LIKE '%administrator%'
ORDER BY user_registered DESC;
راجع أي حساب مُنشأ حديثًا ولا تعرف مصدره، واحذفه فورًا.
3. تفعيل المصادقة الثنائية (2FA)
فعّل المصادقة الثنائية لجميع حسابات المسؤولين باستخدام إضافات موثوقة مثل Wordfence Login Security أو Two Factor Authentication. يمكن دمج خدمة إرسال الرموز عبر SMS من 4Jawaly عبر واجهة API المرخّصة من CST لضمان وصول رموز OTP بشكل موثوق داخل المملكة.
4. فرض قواعد WAF على مستوى الاستضافة
إذا كنت تستخدم مزود استضافة محلي في المملكة (مثل مراكز البيانات في الرياض أو جدة أو الدمام)، فاطلب من فريق الدعم تفعيل قواعد جدار الحماية لتطبيقات الويب (WAF) التي تحجب طلبات التسجيل المحتوية على معامل role=administrator. إليك قاعدة ModSecurity مقترحة:
انتقل إلى الإعدادات > عام في ووردبريس، وألغِ تفعيل خيار “يمكن لأي شخص التسجيل” (Anyone can register) ما لم يكن التسجيل ضرورة فعلية لعمل الموقع.
7. النسخ الاحتياطي واختبار الاستعادة
تأكد من وجود نسخ احتياطية حديثة وسليمة مُخزّنة في مراكز بيانات داخل المملكة بما يتوافق مع متطلبات توطين البيانات التي تفرضها NCA. اختبر استعادة النسخة في بيئة معزولة قبل الاعتماد عليها.
◎خطة استجابة للحوادث (IR Plan)
في حال اكتشافك لأي علامة اختراق، اتبع الخطوات التالية وفقًا لإرشادات المركز الوطني للأمن السيبراني:
العزل: افصل الموقع عن الإنترنت مؤقتًا أو ضعه في وضع الصيانة.
الاحتواء: احذف الحسابات المشبوهة وغيّر جميع كلمات المرور وملفات wp-config.php salts.
التحقيق: افحص الملفات المُعدّلة مؤخرًا باستخدام أداة مثل find /var/www -mtime -7 -type f.
الاستئصال: أزل أي web shells أو backdoors، وأعد تثبيت ووردبريس الأساسي والإضافات من مصادر نظيفة.
التعافي: أعد تشغيل الموقع بعد التحقق من سلامته.
الإبلاغ: بلّغ عن الحادث للجهات المختصة إذا تضمن تسريبًا لبيانات شخصية.
◎توصيات وقائية طويلة المدى
اعتمد مبدأ الحد الأدنى من الصلاحيات (Least Privilege) عند إنشاء الحسابات.
استخدم إضافات أمنية موثوقة مثل Wordfence أو Sucuri أو iThemes Security.
اشترك في تنبيهات الثغرات من مصادر موثوقة مثل Wordfence Threat Intelligence وقاعدة بيانات NVD.
قم بإجراء اختبارات اختراق دورية (Penetration Testing) بواسطة شركات مُرخّصة من الهيئة الوطنية للأمن السيبراني.
فعّل التسجيل والمراقبة المستمرة (SIEM) خاصةً للمواقع التي تتعامل مع بيانات حساسة.
استخدم قنوات إشعار فورية مثل WhatsApp Business API أو SMS لإبلاغ فريق الأمن عند أي محاولة دخول مشبوهة.
◎دور 4Jawaly في دعم أمان مواقعك
بصفتها شركة سعودية مُرخّصة من هيئة الاتصالات والفضاء والتقنية برقم 291-10-32 وحاصلة على شهادة ISO 27001 في إدارة أمن المعلومات، تقدم 4Jawaly مجموعة من الخدمات التي تُعزّز الحماية السيبرانية لمواقع ووردبريس:
خدمات الاستضافة الآمنة في مراكز بيانات داخل المملكة مع تحديثات أمنية تلقائية.
بوابة SMS لإرسال رموز المصادقة الثنائية (OTP) بشكل موثوق.
WhatsApp Business API لإرسال تنبيهات أمنية فورية للمسؤولين.
خدمات التطوير المخصص لتأمين مواقع ووردبريس وفحص الإضافات.
روبوتات محادثة ذكية للرد على استفسارات المستخدمين وتقليل الاعتماد على نماذج التسجيل المكشوفة.
◎خلاصة
تُمثّل الثغرة CVE-2025-13618 في إضافة Mentoring لووردبريس تهديدًا حقيقيًا وفوريًا لآلاف المواقع التعليمية في المملكة العربية السعودية والمنطقة. إن الجمع بين عدم الحاجة إلى مصادقة، وسهولة الاستغلال، والحصول على صلاحيات كاملة، يجعل من هذه الثغرة هدفًا جذابًا للمهاجمين والبوتات الآلية. نُوصي جميع مسؤولي الأنظمة ومقدمي خدمات الاستضافة بالتحرك فورًا لتطبيق التوصيات المذكورة أعلاه، وعدم الانتظار حتى وقوع الحادث. الاستباقية في الأمن السيبراني ليست خيارًا، بل ضرورة تنظيمية وأخلاقية وتجارية.
الأسئلة الأكثر شيوعاً
كيف أعرف أن موقعي متأثر بالثغرة CVE-2025-13618؟
تحقق من لوحة إضافات ووردبريس؛ إذا كانت إضافة Mentoring مُثبّتة بإصدار 1.2.8 أو أقل، فموقعك متأثر. راجع أيضًا قاعدة بيانات المستخدمين للبحث عن حسابات بصلاحية administrator مُنشأة مؤخرًا دون علمك.
هل يكفي تعطيل الإضافة لحماية الموقع؟
تعطيل الإضافة يوقف نقطة الاستغلال، لكنه لا يزيل أي حسابات خبيثة أو ملفات backdoor تم زرعها قبل التعطيل. يجب إجراء فحص شامل للموقع وحذف أي حسابات أو ملفات مشبوهة.
ما الإجراءات التنظيمية في السعودية عند تسرب بيانات بسبب هذه الثغرة؟
وفقًا لنظام حماية البيانات الشخصية (PDPL) الصادر عن سدايا، يجب الإبلاغ عن الحادث خلال 72 ساعة، وإشعار الأشخاص المتأثرين. كما يجب التبليغ للمركز الوطني للأمن السيبراني (NCA) إذا كانت المؤسسة ضمن القطاعات الحيوية.
هل يمكن لجدار حماية الاستضافة (WAF) وحده منع الهجوم؟
WAF مع قواعد مخصصة يُقلل المخاطر بشكل كبير، لكنه ليس بديلاً عن التحديث. يُنصح بالدمج بين WAF والتحديث الفوري للإضافة وتفعيل المصادقة الثنائية عبر SMS.
كيف يساعدني 4Jawaly في تأمين موقع ووردبريس؟
تقدم 4Jawaly استضافة آمنة داخل المملكة، وخدمة SMS لإرسال رموز OTP للمصادقة الثنائية، وواجهة WhatsApp Business API لتنبيهات الأمن الفورية، إضافة إلى خدمات تطوير وتأمين مخصصة لمواقع ووردبريس.
تم اكتشاف ثغرة أمنية حرجة في إضافة MoreConvert Pro لويوردبريس، وهي إضافة شائعة الاستخدام في المواقع الإلكترونية السعودية. هذه الثغرة تسمح للمهاجمين غير المصرح لهم بالوصول إلى حسابات المسؤولين والمتسخدمين، مما ي خطرا كبيرا على أمن البيانات.
◎تفاصيل الثغرة
تسبب الثغرة في عدم إلغاء أو إعادة إنشاء رموز التحقق عند تغيير عنوان البريد الإلكتروني للعميل. هذا يسمح للمهاجمين بالوصول إلى حسابات موجودة، بما في ذلك حسابات المسؤولين، من خلال الحصول على رمز تحقق صحيح لبريد إلكتروني تحت سيطرتهم.
◎الأنظمة المتأثرة
جميع إصدارات إضافة MoreConvert Pro حتى وإCLUDING 1.9.14.
◎خطورة الثغرة
تُصنف الثغرة على أنها حرجة، مع درجة CVSS تبلغ 9.8. هذا يعني أن الثغرة يمكن أن تؤدي إلى اختراق أمني كبير، وبالتالي يجب على المسؤولين اتخاذ إجراءات فورية لتحديث الإضافة.
◎إجراءات للمسؤولين السعوديين
نوصي المسؤولين السعوديين بتحديث إضافة MoreConvert Pro إلى الإصدار الأخير، ومراجعة سجلات الوصول إلى حساباتهم، وضمان استخدام كلمات مرور قوية وآمنة.
◎السياق السعودي
تنطبق هذه الثغرة على المواقع الإلكترونية السعودية التي تستخدم إضافة MoreConvert Pro، وبالتالي يجب على المسؤولين في المملكة العربية السعودية اتخاذ إجراءات فورية لتحديث الإضافة وضمان أمن البيانات.
◎مخاطر الاستغلال
يمكن للمهاجمين استغلال هذه الثغرة لسرقة البيانات الحساسة، واختراق حسابات المسؤولين، وتنفيذ هجمات إلكترونية أخرى.
الأسئلة الأكثر شيوعاً
ما هي الثغرة الأمنية في MoreConvert Pro؟
ثغرة أمنية حرجة تسمح للمهاجمين بالوصول إلى حسابات المسؤولين والمتسخدمين.
كيف يمكنني حماية موقعي الإلكتروني؟
تحديث إضافة MoreConvert Pro إلى الإصدار الأخير، ومراجعة سجلات الوصول إلى حساباتك، وضمان استخدام كلمات مرور قوية وآمنة.
هل تؤثر هذه الثغرة على المواقع الإلكترونية السعودية؟
نعم، تؤثر هذه الثغرة على المواقع الإلكترونية السعودية التي تستخدم إضافة MoreConvert Pro.
◎مقدمة: ثغرة حرجة تهدد آلاف مواقع ووردبريس في السعودية والخليج
كشف باحثو الأمن السيبراني عن ثغرة أمنية بالغة الخطورة تحمل المعرّف CVE-2026-5722 في إضافة MoreConvert Pro الشهيرة الخاصة بمنصة ووردبريس (WordPress)، وهي إضافة تُستخدم على نطاق واسع في متاجر WooCommerce لإدارة قوائم الأمنيات (Wishlist) وقوائم الانتظار (Waitlist) للزوار والعملاء. حصلت الثغرة على تقييم CVSS 9.8 (حرجة)، وتسمح للمهاجمين غير المصادقين بتجاوز آليات المصادقة والاستيلاء على حسابات المستخدمين بما في ذلك حسابات المدراء (Administrators).
تأتي هذه الثغرة في وقت يشهد فيه قطاع التجارة الإلكترونية في المملكة العربية السعودية ودول الخليج توسعاً هائلاً، حيث يعتمد عدد كبير من المتاجر السعودية على ووردبريس وWooCommerce كبنية تحتية رئيسية. ما يجعل هذه الثغرة تحديداً خطيرة هو إمكانية استغلالها عن بُعد دون الحاجة إلى أي بيانات اعتماد مسبقة، مما يضع آلاف المتاجر المرخصة من هيئة الاتصالات والفضاء والتقنية (CST) في خطر حقيقي.
◎تفاصيل الثغرة الفنية CVE-2026-5722
تتمحور الثغرة حول خلل في آلية التحقق من قوائم الانتظار للزوار (Guest Waitlist Verification Flow) داخل الإضافة. عند قيام زائر بطلب الانضمام إلى قائمة انتظار منتج معين، تُرسل الإضافة رابط تحقق (Verification Link) إلى البريد الإلكتروني المُدخل، ويحتوي هذا الرابط على رمز تحقق (Verification Token) فريد.
السبب الجذري للثغرة (CWE-287)
تُصنّف الثغرة ضمن فئة CWE-287: Improper Authentication (المصادقة غير السليمة). يكمن الخلل في أن الإضافة لا تقوم بإبطال أو إعادة توليد رمز التحقق عند تغيير عنوان البريد الإلكتروني للعميل الضيف. هذا يعني أن الرمز يبقى صالحاً حتى بعد تغيير البريد المرتبط به.
سيناريو الاستغلال خطوة بخطوة
الخطوة الأولى: يقوم المهاجم بإنشاء طلب انضمام إلى قائمة الانتظار باستخدام بريد إلكتروني يتحكم فيه (مثلاً: [email protected]).
الخطوة الثانية: يستلم المهاجم رابط التحقق الصالح الذي يحتوي على رمز (Token) مرتبط بجلسته.
الخطوة الثالثة: عبر تدفق قائمة الانتظار العامة، يقوم المهاجم بتغيير البريد الإلكتروني المرتبط بحساب الضيف إلى بريد الضحية المستهدف (مثلاً: [email protected]).
الخطوة الرابعة: يستخدم المهاجم رابط التحقق الأصلي، فيتم مصادقته كمستخدم يملك البريد [email protected] على الموقع.
النتيجة: حصول المهاجم على صلاحيات كاملة، وفي حال كان البريد المستهدف يخص حساب مدير، يحصل على سيطرة كاملة على الموقع.
◎الأنظمة والإصدارات المتأثرة
الإضافة المتأثرة: MoreConvert Pro (Smart Wishlist for More Convert)
الإصدارات المعرضة: جميع الإصدارات حتى 1.9.14 (شاملة)
مراجعة سجل التغييرات الرسمي على moreconvert.com/changelog
3. الإجراءات المؤقتة (في حال تعذر التحديث)
تعطيل الإضافة مؤقتاً حتى توفر الترقية.
تعطيل ميزة قوائم الانتظار للزوار (Guest Waitlist) من إعدادات الإضافة.
إضافة قواعد حماية على جدار الحماية للتطبيقات (WAF) لحجب طلبات تغيير البريد في نقاط النهاية الخاصة بالإضافة.
تقييد الوصول إلى مسارات AJAX الخاصة بـ MoreConvert عبر قواعد .htaccess أو nginx.
4. فحص علامات الاختراق (Indicators of Compromise)
مراجعة جدول wp_users للبحث عن حسابات مدراء جديدة أو مشبوهة.
فحص سجلات الوصول (access logs) بحثاً عن طلبات متكررة على endpoints الإضافة خلال الأشهر الماضية.
البحث عن ملفات PHP مشبوهة مُضافة حديثاً في مجلدات uploads وthemes.
فحص جدول wp_options بحثاً عن قيم active_plugins غير متوقعة.
مراجعة المهام المجدولة (wp_cron) بحثاً عن مهام خبيثة.
5. تدوير بيانات الاعتماد
تغيير كلمات مرور جميع حسابات المدراء.
تدوير مفاتيح الأمان (Secret Keys) في ملف wp-config.php.
إلغاء جميع الجلسات النشطة عبر wp user session destroy --all.
تدوير مفاتيح API الخاصة بالبوابات والتكاملات.
◎السياق السعودي والإطار التنظيمي
يُمثل هذا النوع من الثغرات تحدياً مباشراً للالتزام بالأنظمة السعودية، وأبرزها:
نظام حماية البيانات الشخصية (PDPL): أي تسرب لبيانات العملاء نتيجة هذه الثغرة يُعرّض المؤسسة لغرامات تصل إلى 5 ملايين ريال.
الضوابط الأساسية للأمن السيبراني (ECC) الصادرة عن الهيئة الوطنية للأمن السيبراني: تُلزم بإدارة الثغرات والترقيعات في مهل زمنية محددة، خاصة للثغرات الحرجة.
هيئة الاتصالات والفضاء والتقنية (CST): تطالب مزودي الاستضافة المرخصين بالحفاظ على أمان البنية التحتية.
المركز الوطني الإرشادي للأمن السيبراني: ينصح بتطبيق مبدأ الثقة الصفرية (Zero Trust) ومراقبة الإضافات الطرفية بشكل دوري.
توصيات إضافية لمراكز البيانات المحلية
لمزودي الاستضافة السعوديين الذين يديرون مراكز بيانات في الرياض وجدة والدمام، نوصي بـ:
نشر قواعد WAF مركزية (مثل ModSecurity أو Cloudflare) لحماية جميع مواقع العملاء تلقائياً.
تفعيل خدمة الفحص الآلي اليومي للثغرات عبر أدوات مثل WPScan أو Patchstack.
إنشاء قناة تواصل عاجلة مع العملاء لتنبيههم بالثغرات الحرجة.
تقديم خدمة الترقيع الافتراضي (Virtual Patching) للعملاء غير القادرين على التحديث الفوري.
التكامل مع منصة 4Jawaly لإرسال تنبيهات أمنية فورية عبر SMS وواتساب إلى فرق الاستجابة.
◎دور 4Jawaly في تعزيز الاستجابة الأمنية
تُقدم شركة فورجوالي (4Jawaly)، الحاصلة على ترخيص CST رقم 291-10-32 وشهادة ISO 27001، حلولاً متكاملة تدعم فرق الأمن السيبراني في السعودية، من بينها:
تنبيهات SMS فورية: إرسال إشعارات أمنية للفرق التقنية عند اكتشاف ثغرات حرجة.
WhatsApp Business API: قناة اتصال موثوقة مع العملاء لإبلاغهم بالتحديثات الأمنية.
استضافة آمنة: بيئات استضافة محمية بطبقات حماية متعددة.
شات بوتات ذكية: للاستجابة الأولية للحوادث الأمنية.
◎خلاصة وتوصيات نهائية
تُعد ثغرة CVE-2026-5722 من أخطر الثغرات التي ظهرت في منظومة ووردبريس خلال عام 2026، نظراً لجمعها بين سهولة الاستغلال وخطورة التأثير. نُكرر التوصية بـ التحديث الفوري لإضافة MoreConvert Pro إلى الإصدار الآمن، وإجراء فحص شامل للاختراق، ومراجعة سياسات إدارة الإضافات الطرفية في جميع متاجر ووردبريس المستضافة في المملكة. الوقت عامل حاسم، ومع نشر تفاصيل الثغرة علناً، من المتوقع ظهور أدوات استغلال آلية خلال أيام قليلة، مما يجعل كل ساعة تأخير مخاطرة إضافية.
الأسئلة الأكثر شيوعاً
كيف أعرف إن كان متجري على ووردبريس متأثراً بثغرة CVE-2026-5722؟
إذا كنت تستخدم إضافة MoreConvert Pro (Smart Wishlist for More Convert) بإصدار 1.9.14 أو أقدم، فأنت متأثر مباشرة. يمكنك التحقق عبر لوحة تحكم ووردبريس في قسم الإضافات، أو عبر أمر wp plugin list من WP-CLI.
ما الإجراء العاجل إذا لم يتوفر تحديث فوري للإضافة؟
قم بتعطيل الإضافة مؤقتاً، أو على الأقل عطّل ميزة قوائم الانتظار للزوار (Guest Waitlist). كما يُنصح بإضافة قواعد WAF لحجب طلبات تغيير البريد الإلكتروني على نقاط النهاية الخاصة بالإضافة حتى يتوفر الترقيع الرسمي.
هل يؤثر استغلال هذه الثغرة على الالتزام بنظام حماية البيانات الشخصية PDPL؟
نعم، أي تسرب لبيانات العملاء نتيجة استغلال الثغرة يُعد انتهاكاً لنظام PDPL السعودي، وقد يُعرّض المؤسسة لغرامات تصل إلى 5 ملايين ريال، إضافة إلى وجوب إبلاغ الهيئة السعودية للبيانات والذكاء الاصطناعي خلال 72 ساعة.
كيف أفحص موقعي للتأكد من عدم اختراقه مسبقاً عبر هذه الثغرة؟
راجع جدول wp_users للبحث عن حسابات مدراء مشبوهة أو حديثة، افحص سجلات الوصول بحثاً عن طلبات متكررة على مسارات MoreConvert، وابحث عن ملفات PHP مضافة حديثاً في مجلدات uploads. يُنصح أيضاً باستخدام أدوات مثل Wordfence أو Patchstack.
هل تقدم 4Jawaly حلولاً لتنبيه فرق الأمن عند اكتشاف مثل هذه الثغرات؟
نعم، توفر 4Jawaly خدمات SMS وWhatsApp Business API التي يمكن ربطها بأنظمة SIEM وSOC لإرسال تنبيهات فورية لفرق الاستجابة عند اكتشاف ثغرات حرجة، بالإضافة إلى خدمات الاستضافة الآمنة المتوافقة مع ضوابط CST وECC.
◎CVE-2026-42376: ثغرة أمنية حرجة في جهاز D-Link DIR-456U
تم اكتشاف ثغرة أمنية حرجة في جهاز D-Link DIR-456U، وهي ثغرة من نوع hardcoded telnet backdoor. هذه الثغرة تسمح للمهاجمين بالوصول إلى الجهاز عن طريق telnet وتنفيذ أوامر معينة.
تؤثر هذه الثغرة على جهاز D-Link DIR-456U الإصدار A1، والذي تم إيقاف دعمه من قبل الشركة المصنعة. ونتيجة لذلك، لن يتم إصدار أي تصحيحات أمنية لهذا الجهاز.
تسمح هذه الثغرة للمهاجمين بالوصول إلى الجهاز عن طريق telnet باستخدام اسم مستخدم و كلمة مرور محددة مسبقا. بعد النجاح في الوصول، يمكن للمهاجمين تنفيذ أوامر معينة و الحصول على صلاحيات إدارية كاملة على الجهاز.
الأنظمة المتأثرة
تؤثر هذه الثغرة على جهاز D-Link DIR-456U الإصدار A1.
الخطوات التصحيحية
نوصي مسؤولي الأمان في المملكة العربية السعودية باتخاذ الإجراءات التالية:
إيقاف تشغيل جهاز D-Link DIR-456U إذا كان لا يزال قيد الاستخدام.
استبدال الجهاز بجهاز آخر يدعم التحديثات الأمنية.
تثبيت جدار الحماية و تكوينه لمنع الوصول إلى جهاز telnet.
مراقبة السجلات الأمنية لاكتشاف أي محاولات للوصول غير المصرح به.
السياق السعودي
تنطبق هذه الثغرة الأمنية على أجهزة الشبكات في المملكة العربية السعودية، و التي يتم استخدامها في العديد من المنشآت و المؤسسات. و نظرا لأن جهاز D-Link DIR-456U تم إيقاف دعمه، فإنه لن يتم إصدار أي تصحيحات أمنية لهذا الجهاز.
نوصي مسؤولي الأمان في المملكة العربية السعودية بالعمل مع هيئة الاتصالات وتقنية المعلومات (CITC) لضمان أمان الشبكات و الحماية من هذه الثغرة الأمنية.
مخاطر الاستغلال
تعتبر هذه الثغرة الأمنية خطرا كبيرا على أمان الشبكات في المملكة العربية السعودية. و نظرا لأن الجهاز تم إيقاف دعمه، فإنه لن يتم إصدار أي تصحيحات أمنية لهذا الجهاز.
نوصي مسؤولي الأمان في المملكة العربية السعودية بالاهتمام بهذه الثغرة الأمنية و اتخاذ الإجراءات التصحيحية اللازمة لمنع الاستغلال.
الأسئلة الأكثر شيوعاً
ما هي الثغرة الأمنية في جهاز D-Link DIR-456U؟
الثغرة الأمنية هي hardcoded telnet backdoor.
كيف يمكن للمهاجمين الوصول إلى الجهاز؟
المهاجمين يمكنهم الوصول إلى الجهاز عن طريق telnet باستخدام اسم مستخدم و كلمة مرور محددة مسبقا.
ما هي الإجراءات التصحيحية التي يجب اتخاذها؟
يجب إيقاف تشغيل الجهاز و استبداله بجهاز آخر يدعم التحديثات الأمنية.
◎مقدمة: ثغرة حرجة تهدد أجهزة D-Link DIR-456U في الشبكات السعودية
كشف باحثون في الأمن السيبراني عن ثغرة أمنية بالغة الخطورة تحمل المعرف CVE-2026-42376 وتُصنّف بدرجة 9.8 (حرجة) على مقياس CVSS v3.1، تؤثر على أجهزة التوجيه (Routers) من طراز D-Link DIR-456U الإصدار A1. الثغرة عبارة عن باب خلفي (Backdoor) مُضمّن في البرنامج الثابت (Firmware) للجهاز عبر خدمة Telnet، مع بيانات اعتماد (Credentials) ثابتة ومشفّرة مسبقاً داخل ملفات النظام، مما يمنح المهاجم صلاحيات الجذر (root) الكاملة دون الحاجة إلى أي تفاعل من المستخدم.
الأخطر من ذلك أن الجهاز وصل إلى نهاية دورة حياته (End-of-Life) ولن تصدر له الشركة المُصنِّعة أي تحديثات أمنية، مما يجعل جميع الأجهزة العاملة حالياً في الشبكات السعودية والخليجية معرضة بشكل دائم للاختراق ما لم يتم استبدالها أو عزلها فوراً.
◎تفاصيل الثغرة التقنية CVE-2026-42376
تكمن الثغرة في وجود خدمة Telnet daemon يتم تشغيلها تلقائياً عند إقلاع الجهاز من خلال سكريبت التهيئة /etc/init0.d/S80telnetd.sh. يقوم هذا السكريبت بتشغيل نسخة مُعدَّلة من خدمة telnetd تستخدم بيانات دخول ثابتة:
اسم المستخدم:Alphanetworks
كلمة المرور الثابتة:whdrv01_dlob_dir456U (يتم قراءتها من الملف /etc/config/image_sign)
تستخدم النسخة المُخصصة من ثنائي telnetd خياراً غير موثّق هو -u user:password لتمرير بيانات الاعتماد، بينما يعتمد ثنائي login المُعدّل على دالة strcmp() البسيطة للتحقق من صحة بيانات الدخول. هذه التصميمة تمثل انتهاكاً صريحاً لمبادئ الأمن السيبراني وتندرج تحت التصنيف CWE-798: استخدام بيانات اعتماد مشفّرة مسبقاً (Use of Hard-coded Credentials).
سيناريو الاستغلال
بمجرد أن يتمكن المهاجم من الوصول إلى الشبكة المحلية التي يتصل بها الجهاز (سواء عبر Wi-Fi أو اتصال سلكي)، يستطيع تنفيذ الأوامر التالية للحصول على صلاحيات جذر كاملة:
◎(root shell granted)بعد الحصول على صلاحيات الجذر، يمكن للمهاجم:اعتراض جميع حركة المرور (Traffic) المارة عبر الراوتر بما فيها كلمات المرور وبيانات الخدمات المصرفية.تعديل إعدادات DNS لإعادة توجيه المستخدمين إلى مواقع تصيّد احتيالي.زرع برمجيات خبيثة دائمة (Persistent Malware) داخل البرنامج الثابت.استخدام الجهاز كنقطة انطلاق (Pivot Point) لمهاجمة باقي أجهزة الشبكة الداخلية.ضم الجهاز إلى شبكات البوت نت (Botnets) مثل Mirai و Mozi.الأنظمة والأجهزة المتأثرة
تؤثر الثغرة بشكل مؤكد على:
D-Link DIR-456U Hardware Revision A1 — جميع إصدارات البرنامج الثابت.
الأجهزة التي وصلت إلى حالة نهاية الدعم (EOL) ولن تتلقى أي تصحيحات.
من المرجح أيضاً أن تكون نماذج مشابهة من نفس العائلة (التي تعتمد على نفس البرنامج الثابت المُصنَّع من Alphanetworks) تحمل ثغرات مماثلة، ويُنصح بفحصها جميعاً.
◎السياق المحلي: لماذا يجب على مدراء الأنظمة في السعودية أخذ هذه الثغرة على محمل الجد؟
وفقاً لتقارير هيئة الاتصالات وتقنية المعلومات (CITC) والهيئة الوطنية للأمن السيبراني (NCA)، تُعدّ أجهزة التوجيه المنزلية والمكتبية من أكثر نقاط الضعف استهدافاً في المملكة العربية السعودية ودول الخليج. العديد من الشركات الصغيرة والمتوسطة، وكذلك المكاتب الفرعية للشركات الكبرى، تعتمد على أجهزة D-Link بسبب توفرها وانخفاض تكلفتها.
كما أن الضوابط الأساسية للأمن السيبراني (ECC-1:2018) الصادرة عن NCA تفرض على الجهات الحكومية وشبه الحكومية استبدال الأجهزة التي وصلت لنهاية دعمها فوراً، وتعتبر وجود أجهزة غير مدعومة في الشبكة مخالفة صريحة للضابط 2-3-3 الخاص بإدارة التحديثات والتصحيحات.
مخاطر خاصة بقطاع الاستضافة والمزودين المحليين
إذا كنت تعمل لدى مزود استضافة سعودي أو مركز بيانات محلي، فإن استخدام أي جهاز DIR-456U في شبكات الإدارة خارج النطاق (Out-of-Band Management) أو كحل احتياطي يُعدّ كارثة أمنية قد تؤدي إلى:
انتهاك متطلبات ISO 27001 الخاصة بإدارة الأصول.
مخالفة سياسة حماية البيانات الشخصية (PDPL) السعودية في حال تسرّب بيانات العملاء.
فقدان ترخيص CITC في حالة ثبوت الإهمال في حماية البنية التحتية.
◎الإجراءات التصحيحية العاجلة لمدراء الأنظمة السعوديين
أولاً: الإجراءات الفورية (خلال 24 ساعة)
جرد شامل: قم بفحص جميع أجهزة التوجيه في منشأتك وتحديد أي جهاز DIR-456U A1 باستخدام أدوات مثل nmap أو Shodan للشبكات الداخلية.
عزل الأجهزة المصابة: إذا كان الاستبدال غير ممكن فوراً، اعزل الجهاز في VLAN منفصل بدون وصول إلى الإنترنت أو البيانات الحساسة.
تعطيل Telnet من الشبكة: قم بحظر المنفذ TCP/23 على جميع الجدران النارية (Firewalls) لمنع أي وصول خارجي.
مراقبة حركة المرور: فعّل تسجيل حركة المرور على المنفذ 23 واستخدم أنظمة IDS/IPS مثل Suricata للكشف عن محاولات الاستغلال.
ثانياً: الحل الجذري (خلال أسبوع)
الاستبدال الكامل: الحل الوحيد الفعلي هو استبدال الجهاز بأحد البدائل المدعومة مثل MikroTik أو Cisco أو Ubiquiti أو D-Link من الطرازات الحديثة المدعومة.
التحقق من سلامة الشبكة: افحص الأجهزة المتصلة بالراوتر المصاب للتأكد من عدم تعرضها للاختراق، خاصة فحص DNS settings على أجهزة المستخدمين.
تغيير جميع كلمات المرور: إذا مرت بيانات حساسة عبر الجهاز المصاب، غيّر جميع كلمات المرور للخدمات الداخلية والسحابية.
ثالثاً: التوعية والتوثيق
وثّق الحادثة ضمن سجل إدارة الحوادث وفقاً لضوابط NCA.
أبلغ عن أي محاولة استغلال عبر المركز الوطني الإرشادي للأمن السيبراني.
درّب فريقك على أهمية التحقق من حالة EOL لكل جهاز شبكي قبل الشراء.
◎كيف يمكن لـ 4Jawaly مساعدتك؟
في ظل هذه التهديدات المتصاعدة، توفر فورجوالي (4Jawaly) — الشركة السعودية الحاصلة على ترخيص CITC رقم 291-10-32 وشهادة ISO 27001 — حلول استضافة آمنة في مراكز بيانات محلية تتبع أحدث معايير الأمن السيبراني، بعيداً عن مخاطر الأجهزة منتهية الدعم. كما يمكنك استخدام خدمات SMS وWhatsApp Business API من 4Jawaly لإرسال تنبيهات أمنية فورية لفريق الاستجابة عند رصد أي نشاط مشبوه على شبكتك.
◎كشف الاختراق: مؤشرات التسلل (IoCs)
راقب المؤشرات التالية التي قد تدل على استغلال نشط للثغرة:
اتصالات Telnet واردة من عناوين IP غير معروفة على المنفذ 23.
وجود عمليات غير متوقعة بصلاحيات root في سجلات الجهاز.
تعديلات غير مصرح بها في ملف /etc/config/image_sign.
تغيير إعدادات DNS إلى خوادم غير مألوفة.
ارتفاع غير مبرر في استهلاك النطاق الترددي الصادر.
◎خاتمة: الدرس المستفاد
تؤكد ثغرة CVE-2026-42376 حقيقة مريرة: الأجهزة منتهية الدعم هي قنابل موقوتة في شبكتك. لا يوجد تصحيح، ولا بديل سوى الاستبدال الفوري. على جميع مدراء الأنظمة في المملكة العربية السعودية ودول الخليج اعتماد سياسة صارمة لإدارة دورة حياة الأجهزة (Asset Lifecycle Management) تتضمن متابعة تواريخ EOL ووضع ميزانيات استبدال سنوية. الأمن السيبراني ليس ترفاً بل ضرورة قانونية وتشغيلية في عصر التحول الرقمي الذي تقوده رؤية المملكة 2030.
الأسئلة الأكثر شيوعاً
هل يمكن تصحيح ثغرة CVE-2026-42376 عبر تحديث البرنامج الثابت؟
لا، جهاز D-Link DIR-456U A1 وصل إلى نهاية دورة حياته (EOL) ولن تصدر له الشركة المُصنِّعة أي تحديثات أمنية. الحل الوحيد هو استبدال الجهاز بطراز مدعوم.
هل الثغرة قابلة للاستغلال عن بُعد من خارج الشبكة؟
الاستغلال الأساسي يتطلب الوصول إلى الشبكة المحلية، لكن إذا كان منفذ Telnet (23) مفتوحاً على الإنترنت أو تم اختراق جهاز داخل الشبكة، يصبح الاستغلال عن بُعد ممكناً وخطيراً جداً.
كيف أكتشف وجود أجهزة DIR-456U في شبكتي؟
استخدم أدوات فحص الشبكة مثل nmap مع السكريبت (nmap -sV -p 23 <subnet>) أو راجع قوائم MAC address الخاصة بـ Alphanetworks/D-Link في جدول ARP الخاص بالسويتش.
ما علاقة هذه الثغرة بالامتثال لضوابط NCA في السعودية؟
وجود أجهزة منتهية الدعم يخالف الضابط 2-3-3 من ECC-1:2018 الخاص بإدارة التحديثات، وقد يعرّض المنشأة لمخالفات تنظيمية وعقوبات من الهيئة الوطنية للأمن السيبراني.
هل تكفي إعادة ضبط المصنع (Factory Reset) لإزالة الباب الخلفي؟
لا، الباب الخلفي مُضمّن في البرنامج الثابت نفسه وبيانات الاعتماد مُخزّنة في ملفات النظام الأساسية، لذا إعادة الضبط لن تزيلها. الاستبدال هو الحل الوحيد.
