الوسم: CVE-2026-5722

◎مقدمة: ثغرة حرجة تهدد آلاف مواقع ووردبريس في السعودية والخليج

كشف باحثو الأمن السيبراني عن ثغرة أمنية بالغة الخطورة تحمل المعرّف CVE-2026-5722 في إضافة MoreConvert Pro الشهيرة الخاصة بمنصة ووردبريس (WordPress)، وهي إضافة تُستخدم على نطاق واسع في متاجر WooCommerce لإدارة قوائم الأمنيات (Wishlist) وقوائم الانتظار (Waitlist) للزوار والعملاء. حصلت الثغرة على تقييم CVSS 9.8 (حرجة)، وتسمح للمهاجمين غير المصادقين بتجاوز آليات المصادقة والاستيلاء على حسابات المستخدمين بما في ذلك حسابات المدراء (Administrators).

تأتي هذه الثغرة في وقت يشهد فيه قطاع التجارة الإلكترونية في المملكة العربية السعودية ودول الخليج توسعاً هائلاً، حيث يعتمد عدد كبير من المتاجر السعودية على ووردبريس وWooCommerce كبنية تحتية رئيسية. ما يجعل هذه الثغرة تحديداً خطيرة هو إمكانية استغلالها عن بُعد دون الحاجة إلى أي بيانات اعتماد مسبقة، مما يضع آلاف المتاجر المرخصة من هيئة الاتصالات والفضاء والتقنية (CST) في خطر حقيقي.

◎تفاصيل الثغرة الفنية CVE-2026-5722

تتمحور الثغرة حول خلل في آلية التحقق من قوائم الانتظار للزوار (Guest Waitlist Verification Flow) داخل الإضافة. عند قيام زائر بطلب الانضمام إلى قائمة انتظار منتج معين، تُرسل الإضافة رابط تحقق (Verification Link) إلى البريد الإلكتروني المُدخل، ويحتوي هذا الرابط على رمز تحقق (Verification Token) فريد.

السبب الجذري للثغرة (CWE-287)

تُصنّف الثغرة ضمن فئة CWE-287: Improper Authentication (المصادقة غير السليمة). يكمن الخلل في أن الإضافة لا تقوم بإبطال أو إعادة توليد رمز التحقق عند تغيير عنوان البريد الإلكتروني للعميل الضيف. هذا يعني أن الرمز يبقى صالحاً حتى بعد تغيير البريد المرتبط به.

سيناريو الاستغلال خطوة بخطوة

1. الخطوة الأولى: يقوم المهاجم بإنشاء طلب انضمام إلى قائمة الانتظار باستخدام بريد إلكتروني يتحكم فيه (مثلاً: [email protected]).
2. الخطوة الثانية: يستلم المهاجم رابط التحقق الصالح الذي يحتوي على رمز (Token) مرتبط بجلسته.
3. الخطوة الثالثة: عبر تدفق قائمة الانتظار العامة، يقوم المهاجم بتغيير البريد الإلكتروني المرتبط بحساب الضيف إلى بريد الضحية المستهدف (مثلاً: [email protected]).
4. الخطوة الرابعة: يستخدم المهاجم رابط التحقق الأصلي، فيتم مصادقته كمستخدم يملك البريد [email protected] على الموقع.
5. النتيجة: حصول المهاجم على صلاحيات كاملة، وفي حال كان البريد المستهدف يخص حساب مدير، يحصل على سيطرة كاملة على الموقع.

◎الأنظمة والإصدارات المتأثرة

• الإضافة المتأثرة: MoreConvert Pro (Smart Wishlist for More Convert)
• الإصدارات المعرضة: جميع الإصدارات حتى 1.9.14 (شاملة)
• المنصة: WordPress + WooCommerce
• شرط الاستغلال: تفعيل ميزة قوائم الانتظار للزوار (Guest Waitlist)
• نوع المهاجم المطلوب: غير مصادق (Unauthenticated) — أي مهاجم عن بُعد

◎تقييم الخطورة والتأثير المحتمل

بتقييم CVSS 9.8، تُعد هذه الثغرة من أعلى درجات الخطورة لأسباب عدة:

• متجه الهجوم عبر الشبكة (Network): يمكن استغلالها من أي مكان في العالم.
• تعقيد منخفض (Low Complexity): لا تحتاج إلى مهارات متقدمة.
• لا تتطلب مصادقة: أي زائر يمكنه تنفيذ الهجوم.
• لا تتطلب تفاعل المستخدم: لا حاجة لخداع الضحية بالنقر على رابط.
• تأثير كامل على السرية والسلامة والتوافرية: استيلاء كامل على الموقع.

السيناريوهات الكارثية المحتملة

في حال نجاح المهاجم في الاستيلاء على حساب مدير، يمكنه تنفيذ ما يلي على متجر سعودي:

• سرقة بيانات العملاء بما فيها الأسماء والعناوين وأرقام الهواتف (انتهاك صريح لنظام حماية البيانات الشخصية PDPL).
• رفع ملفات خبيثة (Webshells) والسيطرة الكاملة على الخادم.
• حقن أكواد تصيد (Phishing) أو سرقة بيانات بطاقات الدفع من صفحات الدفع (Magecart attacks).
• إعادة توجيه العملاء إلى مواقع احتيالية.
• تشفير الموقع بفدية (Ransomware) والمطالبة بمبالغ مالية.
• استخدام الموقع كنقطة انطلاق لهجمات ضد مواقع أخرى في البنية التحتية السعودية.

◎الخطوات العاجلة لمسؤولي الاستضافة في السعودية

نوصي جميع مسؤولي الأنظمة ومزودي الاستضافة السعوديين بتنفيذ الإجراءات التالية فوراً:

1. التحقق من وجود الإضافة

قم بفحص جميع مواقع ووردبريس المستضافة لديك باستخدام أوامر مثل:

wp plugin list --format=csv | grep -i moreconvert

أو فحص مجلدات الإضافات مباشرة:

find /var/www -type d -name "smart-wishlist-for-more-convert"

2. التحديث الفوري

قم بترقية الإضافة إلى الإصدار الأحدث (بعد 1.9.14) الذي يعالج الثغرة، عبر:

• لوحة تحكم ووردبريس: الإضافات ← التحديثات المتاحة.
• سطر الأوامر: wp plugin update smart-wishlist-for-more-convert
• مراجعة سجل التغييرات الرسمي على moreconvert.com/changelog

3. الإجراءات المؤقتة (في حال تعذر التحديث)

• تعطيل الإضافة مؤقتاً حتى توفر الترقية.
• تعطيل ميزة قوائم الانتظار للزوار (Guest Waitlist) من إعدادات الإضافة.
• إضافة قواعد حماية على جدار الحماية للتطبيقات (WAF) لحجب طلبات تغيير البريد في نقاط النهاية الخاصة بالإضافة.
• تقييد الوصول إلى مسارات AJAX الخاصة بـ MoreConvert عبر قواعد .htaccess أو nginx.

4. فحص علامات الاختراق (Indicators of Compromise)

• مراجعة جدول wp_users للبحث عن حسابات مدراء جديدة أو مشبوهة.
• فحص سجلات الوصول (access logs) بحثاً عن طلبات متكررة على endpoints الإضافة خلال الأشهر الماضية.
• البحث عن ملفات PHP مشبوهة مُضافة حديثاً في مجلدات uploads وthemes.
• فحص جدول wp_options بحثاً عن قيم active_plugins غير متوقعة.
• مراجعة المهام المجدولة (wp_cron) بحثاً عن مهام خبيثة.

5. تدوير بيانات الاعتماد

• تغيير كلمات مرور جميع حسابات المدراء.
• تدوير مفاتيح الأمان (Secret Keys) في ملف wp-config.php.
• إلغاء جميع الجلسات النشطة عبر wp user session destroy --all.
• تدوير مفاتيح API الخاصة بالبوابات والتكاملات.

◎السياق السعودي والإطار التنظيمي

يُمثل هذا النوع من الثغرات تحدياً مباشراً للالتزام بالأنظمة السعودية، وأبرزها:

• نظام حماية البيانات الشخصية (PDPL): أي تسرب لبيانات العملاء نتيجة هذه الثغرة يُعرّض المؤسسة لغرامات تصل إلى 5 ملايين ريال.
• الضوابط الأساسية للأمن السيبراني (ECC) الصادرة عن الهيئة الوطنية للأمن السيبراني: تُلزم بإدارة الثغرات والترقيعات في مهل زمنية محددة، خاصة للثغرات الحرجة.
• هيئة الاتصالات والفضاء والتقنية (CST): تطالب مزودي الاستضافة المرخصين بالحفاظ على أمان البنية التحتية.
• المركز الوطني الإرشادي للأمن السيبراني: ينصح بتطبيق مبدأ الثقة الصفرية (Zero Trust) ومراقبة الإضافات الطرفية بشكل دوري.

توصيات إضافية لمراكز البيانات المحلية

لمزودي الاستضافة السعوديين الذين يديرون مراكز بيانات في الرياض وجدة والدمام، نوصي بـ:

• نشر قواعد WAF مركزية (مثل ModSecurity أو Cloudflare) لحماية جميع مواقع العملاء تلقائياً.
• تفعيل خدمة الفحص الآلي اليومي للثغرات عبر أدوات مثل WPScan أو Patchstack.
• إنشاء قناة تواصل عاجلة مع العملاء لتنبيههم بالثغرات الحرجة.
• تقديم خدمة الترقيع الافتراضي (Virtual Patching) للعملاء غير القادرين على التحديث الفوري.
• التكامل مع منصة 4Jawaly لإرسال تنبيهات أمنية فورية عبر SMS وواتساب إلى فرق الاستجابة.

◎دور 4Jawaly في تعزيز الاستجابة الأمنية

تُقدم شركة فورجوالي (4Jawaly)، الحاصلة على ترخيص CST رقم 291-10-32 وشهادة ISO 27001، حلولاً متكاملة تدعم فرق الأمن السيبراني في السعودية، من بينها:

• تنبيهات SMS فورية: إرسال إشعارات أمنية للفرق التقنية عند اكتشاف ثغرات حرجة.
• WhatsApp Business API: قناة اتصال موثوقة مع العملاء لإبلاغهم بالتحديثات الأمنية.
• استضافة آمنة: بيئات استضافة محمية بطبقات حماية متعددة.
• شات بوتات ذكية: للاستجابة الأولية للحوادث الأمنية.

◎خلاصة وتوصيات نهائية

تُعد ثغرة CVE-2026-5722 من أخطر الثغرات التي ظهرت في منظومة ووردبريس خلال عام 2026، نظراً لجمعها بين سهولة الاستغلال وخطورة التأثير. نُكرر التوصية بـ التحديث الفوري لإضافة MoreConvert Pro إلى الإصدار الآمن، وإجراء فحص شامل للاختراق، ومراجعة سياسات إدارة الإضافات الطرفية في جميع متاجر ووردبريس المستضافة في المملكة. الوقت عامل حاسم، ومع نشر تفاصيل الثغرة علناً، من المتوقع ظهور أدوات استغلال آلية خلال أيام قليلة، مما يجعل كل ساعة تأخير مخاطرة إضافية.