شعار منصة فورجوالي الرسمي - خدمات الرسائل والواتساب والاستضافة
تسجيل الدخول
شعار فورجوالي
شعار منصة فورجوالي الرسمي - خدمات الرسائل والواتساب والاستضافة
تسجيل الدخول
تسجيل الدخول

الوسم: WordPress

تحذير: ثغرة XSS مخزّنة في إضافة NEX-Forms تهدد آلاف مواقع ووردبريس

Posted on by wpadmin

كُشف عن ثغرة Stored XSS حرجة في إضافة NEX-Forms – Ultimate Forms Plugin for WordPress تطال جميع الإصدارات حتى 9.1.11. تسمح الثغرة لمهاجمين غير مصادقين بحقن سكربتات ضارة تُنفَّذ عند زيارة الصفحات المصابة. يُنصح أصحاب المواقع والمستضيفون بالتحديث الفوري لحماية المستخدمين ولوحات الإدارة.

⚠️ عالية · CVSS 7.2CVE-2026-5063 · CWE-79

التفاصيل التقنية للثغرة

تتعلق الثغرة المُعرَّفة بـ CVE-2026-5063 بخلل في دالة submit_nex_form() داخل إضافة NEX-Forms – Ultimate Forms Plugin for WordPress، حيث لا تقوم الإضافة بتنقية (sanitization) أسماء مفاتيح معاملات الطلب من نوع POST، ولا بتهريب المخرجات (output escaping) بشكل كافٍ.

يقوم المهاجم بإرسال طلب POST يحتوي على أسماء مفاتيح مُعدَّة خصيصاً تضم كود JavaScript خبيث. يُخزَّن هذا الكود في قاعدة بيانات الموقع (ومن هنا تصنيف Stored XSS وفق CWE-79)، ثم يُنفَّذ في متصفح أي مستخدم أو مدير يفتح الصفحة المصابة لاحقاً.

  • نوع الثغرة: Stored Cross-Site Scripting
  • المتطلب: لا يحتاج المهاجم إلى أي مصادقة (Unauthenticated)
  • الإصدارات المتأثرة: جميع الإصدارات حتى 9.1.11 شاملةً
  • نقطة الحقن: أسماء معاملات POST في دالة submit_nex_form()
CVE-2026-5063 - WordPress - أمان السيرفرات
CVE-2026-5063 · WordPress · HIGH

درجة الخطورة

حصلت الثغرة على تقييم CVSS 7.2 (HIGH)، وهو تقييم مرتفع نظراً لعدة عوامل:

  • إمكانية الاستغلال دون الحاجة لأي حساب أو صلاحيات مسبقة.
  • قابلية الاستغلال عن بُعد عبر طلبات HTTP اعتيادية.
  • خطر اختطاف جلسات المسؤولين (Admin Session Hijacking) مما قد يؤدي إلى سيطرة كاملة على الموقع.
  • احتمال إعادة توجيه الزوار إلى مواقع خبيثة أو زرع backdoors عبر لوحة الإدارة.

بالنسبة لشركات الاستضافة المشتركة، قد تتحول ثغرة واحدة إلى وسيلة لاختراق عدد كبير من المواقع في الخادم نفسه إذا نجح المهاجم في الوصول إلى حساب إداري.

هل تم استغلالها؟

حتى لحظة النشر، لم تُدرج الثغرة ضمن قائمة CISA KEV للثغرات المُستغلَّة فعلياً، ولا توجد تقارير علنية تؤكد استغلالاً واسعاً في البرية. غير أن طبيعة الثغرة (XSS مخزّنة بدون مصادقة) تجعلها هدفاً جذاباً جداً للأدوات الآلية ومحركات المسح الخاصة بالمهاجمين، ومن المتوقع ظهور محاولات استغلال جماعي خلال فترة قصيرة بعد نشر التفاصيل.

الحل والإصلاح

الإجراء الأساسي هو تحديث الإضافة فوراً إلى إصدار أحدث من 9.1.11 يتضمن التصحيح الصادر في changeset 3513524.

للتحقق من وجود الإضافة والإصدار الحالي عبر WP-CLI:

wp plugin list --name=nex-forms-express-wp-form-builder

لتحديث الإضافة مباشرة عبر WP-CLI:

wp plugin update nex-forms-express-wp-form-builder

إذا تعذّر التحديث الفوري، يمكن تعطيل الإضافة كإجراء مؤقت:

wp plugin deactivate nex-forms-express-wp-form-builder

للبحث عن جميع المواقع المصابة على خادم استضافة يحوي عدة مواقع ووردبريس:

find /var/www -type d -name "nex-forms-express-wp-form-builder"

للتحقق من سجلات الوصول بحثاً عن محاولات استغلال مشبوهة على مسارات الإرسال:

grep -i "admin-ajax.php" /var/log/nginx/access.log | grep -i "nex_form"

يُوصى إضافةً إلى ذلك بتفعيل Web Application Firewall (WAF) مثل Wordfence أو قواعد ModSecurity على مستوى الخادم لرصد محاولات حقن وسوم <script> داخل أسماء المعاملات.

الخلاصة والتوصية

تمثّل ثغرة CVE-2026-5063 تهديداً حقيقياً لكل موقع ووردبريس يستخدم إضافة NEX-Forms بإصدار 9.1.11 أو أقدم، خصوصاً أنها قابلة للاستغلال دون مصادقة. ننصح مسؤولي السيرفرات ومزودي الاستضافة بما يلي:

  1. التحديث الفوري إلى الإصدار المُصحَّح، أو تعطيل الإضافة حتى يتوفر التحديث.
  2. إجراء مسح شامل لقاعدة بيانات الموقع بحثاً عن مدخلات تحتوي على كود JavaScript مشبوه.
  3. تدوير كلمات مرور حسابات الإدارة ومفاتيح wp-config.php كإجراء احترازي.
  4. تفعيل التحديثات التلقائية للإضافات الحرجة عبر WordPress أو على مستوى لوحة التحكم في الاستضافة.

📎 ملفات التحميل

📄 English Security Advisory – تقرير احترافي للمختصين

📝 Technical README (Markdown) – وثائق تقنية للفرق الداخلية

تحذير لمستخدمي NEX-Forms: ثغرة XSS مخزّنة تهدد موقعك بالكامل

Posted on by wpadmin

اكتُشفت ثغرة Stored Cross-Site Scripting خطيرة في إضافة NEX-Forms – Ultimate Forms Plugin الشهيرة لووردبريس، تؤثر على جميع الإصدارات حتى 9.1.11. تسمح الثغرة لمهاجمين غير مصادقين بحقن سكربتات ضارة تُنفَّذ عند زيارة الصفحات المصابة. ننصح جميع مدراء المواقع بالتحديث الفوري لحماية زوارهم ولوحات التحكم من سرقة الجلسات والتلاعب بالمحتوى.

⚠️ عالية · CVSS 7.2CVE-2026-5063 · CWE-79

التفاصيل التقنية للثغرة

الثغرة المُسجّلة برقم CVE-2026-5063 تقع في دالة submit_nex_form() داخل إضافة NEX-Forms، وتُصنَّف ضمن نوع CWE-79 (Cross-Site Scripting). يعود السبب الجذري إلى قصور في تعقيم المدخلات (input sanitization) وغياب الهروب الصحيح للمخرجات (output escaping) عند معالجة أسماء مفاتيح معاملات طلبات POST المُرسلة إلى الخادم.

عند إرسال نموذج عبر الإضافة، يتم تخزين أسماء مفاتيح POST دون تصفية كافية، مما يمكّن المهاجم من إدراج شيفرة JavaScript ضارة تُحفظ في قاعدة البيانات وتُنفَّذ لاحقاً عند عرض الصفحة لأي مستخدم، بما في ذلك المسؤولين. ولأن الاستغلال لا يتطلب مصادقة (unauthenticated)، فإن سطح الهجوم واسع ويشمل أي زائر عابر للموقع.

الإصدارات المتأثرة: جميع إصدارات NEX-Forms حتى 9.1.11 (شاملة).

CVE-2026-5063 - WordPress - أمان السيرفرات
CVE-2026-5063 · WordPress · HIGH

درجة الخطورة

حصلت الثغرة على تقييم CVSS 7.2 ضمن الفئة العالية (HIGH). ورغم أنها لم تُدرج في قائمة KEV الخاصة بـ CISA حتى لحظة النشر، إلا أن طبيعتها المخزّنة وكونها قابلة للاستغلال دون مصادقة يجعلانها تهديداً بالغ الخطورة لبيئات استضافة المواقع. تشمل العواقب المحتملة:

سرقة ملفات تعريف الارتباط للمسؤولين، واختطاف جلسات الإدارة، وإعادة توجيه الزوار إلى مواقع تصيّد أو توزيع برمجيات خبيثة، وحقن مواد SEO Spam، وتشويه صفحات الموقع. وفي بيئات الاستضافة المشتركة، قد يستخدم المهاجم الموقع المصاب كنقطة انطلاق لاستهداف مواقع أخرى على نفس الخادم.

هل تم استغلالها؟

وفقاً للمعلومات المتاحة من Wordfence ومستودع ووردبريس الرسمي، لا يوجد حتى الآن تأكيد علني لاستغلال نشط واسع النطاق لهذه الثغرة في البرية (in the wild)، ولم تُدرج في كتالوج KEV. غير أن نشر التفاصيل وتوفّر التصحيح في changeset علني يرفعان احتمال محاولات الاستغلال خلال الأيام المقبلة، خاصة مع شيوع الإضافة وسهولة أتمتة هجمات XSS المخزّنة.

الحل والإصلاح

الحل الرسمي هو التحديث فوراً إلى أحدث إصدار من الإضافة الذي يعالج المشكلة (ما بعد 9.1.11)، كما هو موضّح في الـ changeset رقم 3513524 على plugins.trac.wordpress.org.

للتحقق من الإصدار المثبّت حالياً عبر WP-CLI:

wp plugin get nex-forms-express-wp-form-builder --field=version

لتحديث الإضافة مباشرة:

wp plugin update nex-forms-express-wp-form-builder

للبحث عن أي محتوى مشبوه محقون في قاعدة البيانات:

wp db query "SELECT * FROM wp_posts WHERE post_content LIKE '%<script%' OR post_content LIKE '%onerror=%';"

إذا لم يكن بإمكانك التحديث فوراً، يُنصح بتعطيل الإضافة مؤقتاً:

wp plugin deactivate nex-forms-express-wp-form-builder

إجراءات إضافية موصى بها على مستوى السيرفر: تفعيل قواعد ModSecurity أو WAF (مثل Wordfence) لحجب أنماط XSS الشائعة، ومراجعة سجلات access.log بحثاً عن طلبات POST غير اعتيادية تستهدف endpoint الإضافة، وتدوير كلمات مرور الحسابات الإدارية بعد التحديث.

الخلاصة والتوصية

ثغرة CVE-2026-5063 تُذكّرنا بأن إضافات النماذج تمثّل واجهة استقبال مباشرة للمدخلات الخارجية، وأي خلل في تعقيمها ينعكس فوراً على أمان الموقع بأكمله. نوصي مدراء السيرفرات وشركات الاستضافة بإبلاغ عملائهم الذين يستخدمون NEX-Forms، ودفع التحديث الآلي عبر أدوات الإدارة المركزية، وتعزيز طبقات الدفاع عبر WAF ومراقبة السجلات. التحديث السريع هو خط الدفاع الأول والأهم.

📎 ملفات التحميل

📄 English Security Advisory – تقرير احترافي للمختصين

📝 Technical README (Markdown) – وثائق تقنية للفرق الداخلية

ثغرة في إضافة WCFM لـ WordPress تسمح بحذف المستخدمين عبر IDOR

Posted on by wpadmin

تؤثر CVE-2026-2554 على إضافة WCFM – Frontend Manager for WooCommerce في WordPress حتى الإصدار 6.7.25.
سببها IDOR ناتج عن غياب التحقق من المفتاح customerid داخل الإجراء wcfm_delete_wcfm_customer.
يمكن لمستخدم موثّق بصلاحية Vendor أو أعلى حذف مستخدمين عشوائيين، بما في ذلك Administrators.

التحليل التقني

بحسب الوصف المنشور، تعاني إضافة WCFM – Frontend Manager for WooCommerce along with Bookings Subscription Listings Compatible plugin for WordPress من ثغرة Insecure Direct Object Reference مصنفة تحت CWE-639. سبب المشكلة هو غياب التحقق من قيمة customerid التي يتحكم بها المستخدم داخل الإجراء wcfm_delete_wcfm_customer.

الأثر المباشر هو تمكين مهاجم موثّق يملك صلاحية Vendor أو أعلى من حذف مستخدمين عشوائيين من الموقع، بما في ذلك حسابات Administrator. في بيئات استضافة المتاجر الإلكترونية وWordPress متعدد البائعين، هذا النوع من الخلل يمس إدارة الموقع مباشرة، لأنه قد يؤدي إلى حذف حسابات الإدارة أو حسابات تشغيلية مهمة، وبالتالي تعطيل الوصول الإداري أو إرباك إدارة المتجر.

تاريخ النشر المذكور هو 2026-05-02 14:16:17، والإصدارات المتأثرة هي جميع الإصدارات حتى 6.7.25 شاملًا.

المراجع المتاحة: مرجع الكود، مرجع التعديل، مرجع Wordfence.

CVE-2026-2554 - WordPress - رسم توضيحي أمني ثنائي الأبعاد
CVE-2026-2554 · WordPress · 2D Explainer

درجة الخطورة

درجة الخطورة المعلنة هي 8.1 من 10 بتصنيف HIGH. هذا المستوى مبرر لأن الاستغلال لا يتطلب وصول Administrator، بل يكفي حساب موثّق بصلاحية Vendor أو أعلى. في سياق استضافة مواقع WooCommerce، هذا يرفع الخطر خصوصًا في المتاجر التي تمنح حسابات Vendor لعدة أطراف، لأن حذف المستخدمين قد يؤثر مباشرة على استمرارية الإدارة والتشغيل.

هل تم استغلالها؟

بحسب البيانات المتاحة هنا، الثغرة غير مدرجة في KEV. كذلك لا تتضمن المعطيات المقدمة إشارة إلى استغلال نشط أو حملة استغلال علنية، لذلك لا يمكن الجزم بوجود استغلال فعلي اعتمادًا على هذه البيانات وحدها.

الحل والإصلاح

الإجراء الأساسي هو التحقق من وجود الإضافة والإصدار المثبّت على الموقع. أي إصدار حتى 6.7.25 يُعد متأثرًا وفق الوصف المنشور، لذلك يجب التحديث إلى إصدار أحدث من 6.7.25. إذا تعذر التحديث فورًا، فالتخفيف العملي هو تعطيل الإضافة مؤقتًا حتى تنفيذ التحديث، مع مراجعة حسابات Vendor والمستخدمين المحذوفين أو المتأثرين.

تحقق من وجود الإضافة على الموقع:

wp plugin list --path=/path/to/wordpress | grep wc-frontend-manager

اعرض الإصدار المثبّت للتأكد مما إذا كان ضمن النطاق المتأثر:

wp plugin get wc-frontend-manager --field=version --path=/path/to/wordpress

حدّث الإضافة إلى إصدار أحدث من 6.7.25:

wp plugin update wc-frontend-manager --path=/path/to/wordpress

إذا لم يكن التحديث متاحًا أو أردت تقليل المخاطر فورًا، عطّل الإضافة مؤقتًا:

wp plugin deactivate wc-frontend-manager --path=/path/to/wordpress

للمراجعة السريعة بعد الاشتباه في الاستغلال، اعرض المستخدمين وصلاحياتهم للتحقق من أي حذف غير متوقع:

wp user list --fields=ID,user_login,roles --path=/path/to/wordpress

الخلاصة والتوصية

ثغرة CVE-2026-2554 مهمة لمديري استضافة WordPress وWooCommerce لأنها تسمح لحساب Vendor موثّق بحذف مستخدمين عشوائيين، بما في ذلك Administrators. الأولوية العملية هي حصر المواقع التي تستخدم الإضافة، التحقق من الإصدار، ثم التحديث إلى إصدار أحدث من 6.7.25 أو تعطيل الإضافة مؤقتًا حتى إتمام المعالجة.

📎 ملفات التحميل

📄 English Security Advisory – تقرير احترافي للمختصين

📝 Technical README (Markdown) – وثائق تقنية للفرق الداخلية

CVE-2026-2554 · CVSS: 8.1 (HIGH) · CWE-639 ·

تحديث عاجل لمستخدمي Geo Mashup: ثغرة SQL تهدد قواعد بياناتك

Posted on by wpadmin

كُشف عن ثغرة أمنية عالية الخطورة في إضافة Geo Mashup الشهيرة لمنصة WordPress، تسمح لمهاجمين غير مُصادقين بتنفيذ حقن SQL من النوع الزمني (Time-Based Blind SQLi) عبر معامل sort. تؤثر الثغرة على جميع الإصدارات حتى 1.13.18 وتتيح استخراج بيانات حساسة من قاعدة البيانات. يتعين على مديري السيرفرات والمواقع تحديث الإضافة فوراً لتفادي استهداف منصاتهم.

⚠️ عالية · CVSS 7.5CVE-2026-4060 · CWE-89

التفاصيل التقنية

تنشأ الثغرة المُسجّلة تحت المعرف CVE-2026-4060 من ضعف في تطهير المدخلات ضمن سياق جملة ORDER BY داخل ملفات الإضافة المسؤولة عن بناء الاستعلامات الجغرافية. فعلى الرغم من استخدام الدالة esc_sql() على قيمة المعامل sort، إلا أنها غير فعّالة في هذا السياق تحديداً لأن القيمة لا تُحاط بعلامات اقتباس، مما يجعل التهريب (escaping) عديم الأثر.

في الإصدار 1.13.18 أضاف المطوّر دالة تطهير قائمة على قائمة بيضاء (allowlist) باسم sanitize_sort_arg()، لكن التصحيح طُبّق حصراً على مسار AJAX داخل الدالة sanitize_query_args()، وأُغفل تطبيقه في المسارات الأخرى مثل render-map.php ووسوم القوالب (template tags). هذا الإغفال يُبقي الثغرة قائمة في مسارات متعددة يستطيع المهاجم استدعاؤها بلا مصادقة.

يستغل المهاجم الثغرة بحقن استعلامات SQL إضافية داخل الاستعلام القائم، ويعتمد على أسلوب العمى الزمني (Time-Based Blind) عبر دوال مثل SLEEP() لاستخراج المعلومات بيتاً ببت من خلال قياس زمن الاستجابة.

التصنيف التقني للثغرة هو CWE-89: SQL Injection، وهو من أخطر أنواع الثغرات على بيئات الاستضافة المشتركة والمخصصة.

CVE-2026-4060 - WordPress - رسم توضيحي أمني ثنائي الأبعاد
CVE-2026-4060 · WordPress · 2D Explainer

درجة الخطورة

حصلت الثغرة على تقييم 7.5 (HIGH) وفق معيار CVSS، وهو تقييم يعكس الخطورة الفعلية لعدة أسباب:

  • عدم الحاجة إلى مصادقة: يمكن للمهاجم استغلالها دون امتلاك أي حساب على الموقع.
  • سهولة الاستغلال عن بُعد: عبر طلب HTTP عادي يمرّر معامل sort مُعدّلاً.
  • تسريب بيانات حساسة: مثل بيانات اعتماد المستخدمين، مفاتيح API، ومحتوى الجداول.
  • تأثير على السيرفر: استعلامات SLEEP المتكررة قد تُرهق قاعدة البيانات وتؤدي إلى تدهور الأداء أو حجب الخدمة عن المواقع المجاورة في بيئات الاستضافة المشتركة.

هل تم استغلالها؟

حتى تاريخ نشر هذه النشرة، لم تُدرَج الثغرة ضمن كتالوج CISA KEV للثغرات المُستغلّة فعلياً، ولا توجد تقارير علنية مؤكدة عن حملات استغلال واسعة النطاق. غير أن ثغرات SQL Injection في إضافات WordPress تستقطب تاريخياً اهتماماً كبيراً من المهاجمين الآليين (bots) بمجرد الإفصاح عنها، نظراً لسهولة أتمتتها وانتشار الإضافات المتأثرة. لذا يُعدّ التحديث الفوري إجراءً وقائياً لا يحتمل التأجيل.

الحل والإصلاح

التوصية الأساسية هي ترقية إضافة Geo Mashup إلى أحدث إصدار يُعالج الثغرة في جميع مسارات الكود (وليس فقط مسار AJAX). للتحقق من إصدار الإضافة المُثبّتة على السيرفر عبر WP-CLI:

wp plugin get geo-mashup --field=version

لتحديث الإضافة فوراً إلى أحدث نسخة:

wp plugin update geo-mashup

لتعطيل الإضافة مؤقتاً حتى إتمام التحديث إن تعذّر ذلك:

wp plugin deactivate geo-mashup

للبحث عن جميع المواقع المتأثرة على سيرفر يستضيف عدة تنصيبات WordPress:

find /var/www -name "geo-mashup" -type d

لمراجعة سجلات الويب بحثاً عن محاولات استغلال تستهدف المعامل sort:

grep -Ei "sort=.*(sleep|benchmark|union|select)" /var/log/nginx/access.log

يُنصح كذلك بتفعيل قواعد ModSecurity أو جدار حماية تطبيقي (WAF) يحجب أنماط حقن SQL الشائعة في معاملات URL، ومراجعة سجلات MySQL للكشف عن استعلامات طويلة الزمن غير معتادة:

mysqldumpslow -s t /var/log/mysql/mysql-slow.log | head -20

الخلاصة والتوصية

تُمثّل ثغرة CVE-2026-4060 تذكيراً مهمّاً بأن إضافات WordPress تبقى أحد أبرز نواقل الهجوم على بيئات الاستضافة. وبما أن الاستغلال لا يتطلب مصادقة ويستهدف قاعدة البيانات مباشرة، فإن المخاطر تمتد من تسريب بيانات المستخدمين إلى إرهاق موارد السيرفر. نوصي مديري الاستضافة بفحص جميع تنصيبات العملاء، وإجبار تحديث الإضافة، وتفعيل حماية WAF، ومراقبة السجلات خلال الأيام التالية للإفصاح لرصد أي محاولات استغلال آلية.

📎 ملفات التحميل

📄 English Security Advisory – تقرير احترافي للمختصين

📝 Technical README (Markdown) – وثائق تقنية للفرق الداخلية

تحديث عاجل لمستخدمي Geo Mashup: ثغرة SQL Injection تهدد قواعد بياناتك

Posted on by wpadmin

كُشف عن ثغرة حقن SQL قائمة على الزمن (Time-Based SQL Injection) في إضافة Geo Mashup الشهيرة على WordPress تؤثر على جميع الإصدارات حتى 1.13.18. تسمح الثغرة للمهاجمين غير المصادقين باستخراج بيانات حساسة من قاعدة البيانات عبر معامل map_post_type. يُنصح مديرو السيرفرات وأصحاب المواقع بالتحديث الفوري، خاصةً عند تفعيل ميزة Geo Search.

⚠️ عالية · CVSS 7.5CVE-2026-4061 · CWE-89

التفاصيل التقنية للثغرة

تحمل الثغرة المعرّف CVE-2026-4061 وتُصنَّف ضمن فئة CWE-89 (Improper Neutralization of Special Elements used in an SQL Command). مصدر الخلل يقع في ملف SearchResults.php ضمن الـ hook الخاص بنتائج البحث، حيث يتم استدعاء الدالة stripslashes_deep($_POST) بشكل صريح، مما يُزيل طبقة الحماية التي يوفّرها WordPress عبر Magic Quotes.

بعد ذلك، تُمرَّر قيمة map_post_type دون أي تعقيم إلى عبارة IN(...) داخل استعلام SQL، وذلك دون استخدام esc_sql() أو $wpdb->prepare(). اللافت أن الفرع الخاص بالقيمة any في نفس الكود يطبّق بشكل صحيح array_map('esc_sql', ...)، بينما يغفل الفرع البديل (else branch) عن ذلك تماماً.

شرط الاستغلال الوحيد هو تفعيل ميزة Geo Search من إعدادات الإضافة، وهي ميزة مفعّلة في كثير من المواقع التي تعتمد الإضافة للخرائط التفاعلية.

CVE-2026-4061 - WordPress - رسم توضيحي أمني ثنائي الأبعاد
CVE-2026-4061 · WordPress · 2D Explainer

درجة الخطورة

حصلت الثغرة على تقييم CVSS 7.5 (HIGH)، ويُعزى ارتفاع هذا التقييم إلى:

  • إمكانية الاستغلال من قِبل مهاجم غير مصادَق (Unauthenticated) عبر الإنترنت.
  • تسريب بيانات حساسة من قاعدة البيانات مثل بيانات المستخدمين وكلمات المرور المُجزّأة (hashed passwords).
  • سهولة الأتمتة عبر أدوات مثل sqlmap نظراً لكونها Time-Based Blind.
  • عدم الحاجة إلى تفاعل من المستخدم (No User Interaction).

على مستوى استضافة المواقع، قد يؤدي استغلالها إلى ضغط كبير على خدمة MySQL/MariaDB بسبب استعلامات SLEEP() المتكررة، مما قد يتسبّب في بطء السيرفر أو توقف مؤقت للموقع.

هل تم استغلالها؟

حتى وقت نشر هذا التقرير، لم تُدرَج الثغرة ضمن قائمة KEV (Known Exploited Vulnerabilities) الصادرة عن CISA، ولم تُرصَد حملات استغلال واسعة. مع ذلك، فإن طبيعة الثغرة (Unauthenticated SQL Injection في إضافة WordPress) تجعلها هدفاً جذاباً لمنشئي البوتات وماسحات الثغرات الآلية، ومن المتوقع ظهور محاولات استغلال جماعية خلال فترة قصيرة من الإفصاح العلني.

الحل والإصلاح

الحل الرسمي هو التحديث إلى الإصدار الذي يتجاوز 1.13.18 والذي يتضمن التصحيح المرجعي في changeset/3503627.

1) التحقق من إصدار الإضافة المثبّتة عبر WP-CLI:

wp plugin get geo-mashup --field=version

2) تحديث الإضافة فوراً:

wp plugin update geo-mashup

3) إن لم يتوفر التحديث بعد، يمكن تعطيل الإضافة مؤقتاً كإجراء طارئ:

wp plugin deactivate geo-mashup

4) كحل وسيط، يمكن تعطيل ميزة Geo Search من لوحة الإعدادات لأن الاستغلال يتطلّب تفعيلها.

5) للكشف عن محاولات استغلال في سجلات Nginx/Apache:

grep -Ei "map_post_type.*(SLEEP|BENCHMARK|UNION|SELECT)" /var/log/nginx/access.log

6) إضافة قاعدة حماية على مستوى ModSecurity/WAF لحجب الحمولات المشبوهة في المعامل:

SecRule ARGS:map_post_type "@rx (?i)(sleep(|benchmark(|unions+select)" "id:1004061,phase:2,deny,status:403,msg:'Geo Mashup SQLi attempt'"

7) مراقبة استعلامات MySQL البطيئة التي قد تدل على استغلال ناجح:

tail -f /var/log/mysql/slow.log

الخلاصة والتوصية

تُمثّل هذه الثغرة تذكيراً بأهمية استخدام واجهات WordPress الآمنة للاستعلامات مثل $wpdb->prepare() بدلاً من الاعتماد على تعقيم يدوي قد يغفل فروعاً في الكود. نوصي مديري السيرفرات ومقدّمي خدمات الاستضافة بفرض التحديث التلقائي لإضافة Geo Mashup على جميع المواقع المستضافة، وتفعيل قواعد WAF للحدّ من محاولات الحقن الآلي، ومراقبة سجلات MySQL البطيئة لرصد أي نشاط غير طبيعي مرتبط بالمعامل map_post_type.

📎 ملفات التحميل

📄 English Security Advisory – تقرير احترافي للمختصين

📝 Technical README (Markdown) – وثائق تقنية للفرق الداخلية

تحديث عاجل لمستخدمي Geo Mashup: ثغرة SQL تهدد قواعد بياناتك

Posted on by wpadmin

كُشفت ثغرة SQL Injection عالية الخطورة في إضافة Geo Mashup الخاصة بـ WordPress، وتؤثر على جميع الإصدارات حتى 1.13.18.
المشكلة تسمح لمهاجم غير موثّق باستخراج معلومات حساسة من قاعدة البيانات بأسلوب Time-Based Blind SQL Injection.
بالنسبة لمديري الاستضافة والسيرفرات، الأولوية الآن هي حصر المواقع المتأثرة والتحقق من الإصدار ثم التحديث أو التعطيل المؤقت.

⚠️ عالية · CVSS 7.5CVE-2026-4062 · CWE-89

التحليل التقني

الثغرة مسجّلة بالمعرّف CVE-2026-4062 ونُشرت بتاريخ 2026-05-02 12:16:16. المنتج المتأثر هو إضافة Geo Mashup لـ WordPress، وتشمل جميع الإصدارات حتى 1.13.18. التصنيف البرمجي هو CWE-89، ما يعني أنها ثغرة SQL Injection.

بحسب الوصف المتاح، تكمن المشكلة في تمرير القيم القادمة من المستخدم عبر المعاملين object_ids وexclude_object_ids دون حماية كافية داخل استعلامات SQL. تم استخدام الدالة esc_sql()، لكنها غير فعّالة في هذا السياق لأن القيم توضع داخل بنية IN(...) وNOT IN(...) غير المحاطة بعلامات اقتباس، بينما هذه الدالة لا تمنع حقن الأقواس أو الكلمات المفتاحية الخاصة بـ SQL.

الوصف يذكر أيضاً أن هناك آلية تنقية تقبل الأرقام فقط داخل sanitize_query_args()، لكنها لا تُطبّق إلا في مسار AJAX، ولا تُطبّق في مسارات render-map.php أو template tags. عملياً، هذا يوسّع سطح الهجوم في بيئات الاستضافة التي تعرض الخرائط أو تعتمد على استدعاءات الإضافة من القوالب في الواجهة الأمامية.

نتيجة ذلك، يمكن لمهاجم غير مسجّل الدخول إلحاق استعلامات إضافية داخل الاستعلامات الموجودة فعلاً، ثم استخدام أسلوب Time-Based Blind SQL Injection لاستخراج معلومات حساسة من قاعدة البيانات. في بيئات الاستضافة، هذا يعني أن الخطر لا يقتصر على تسريب البيانات فقط، بل قد يظهر أيضاً على شكل بطء متعمّد في استجابة قاعدة البيانات أثناء محاولات الاستغلال.

CVE-2026-4062 - WordPress - رسم توضيحي أمني ثنائي الأبعاد
CVE-2026-4062 · WordPress · 2D Explainer

درجة الخطورة

درجة الخطورة المعلنة هي 7.5 من 10 وفق CVSS، وهي ضمن المستوى HIGH. هذا التقييم منطقي لأن الاستغلال لا يتطلب تسجيل دخول، ويستهدف قاعدة البيانات مباشرة، وقد يؤدي إلى كشف معلومات حساسة من موقع WordPress المتأثر. بالنسبة لفرق إدارة السيرفرات، أي موقع يستخدم Geo Mashup بإصدار 1.13.18 أو أقدم يجب اعتباره ضمن نطاق الخطر حتى يتم التحقق منه ومعالجته.

هل تم استغلالها؟

لا توجد في البيانات المتاحة إشارة إلى إدراج الثغرة ضمن KEV، حيث إن القيمة المعلنة هي “لا”. كذلك لا يوجد ضمن المعلومات المقدّمة ما يؤكد وجود استغلال فعلي واسع النطاق وقت النشر. مع ذلك، كونها ثغرة SQL Injection غير موثّقة في إضافة WordPress يرفع من أهمية التعامل معها بسرعة، خصوصاً في المواقع العامة التي تعرض وظائف الإضافة للزوار مباشرة.

الحل والإصلاح

الإجراء الأول هو تحديد كل مواقع WordPress التي تحتوي على إضافة Geo Mashup داخل السيرفر أو بيئة الاستضافة. بعد ذلك تحقّق من الإصدار الحالي، لأن جميع الإصدارات حتى 1.13.18 متأثرة وفق البيانات المتاحة. إن كان الموقع يستخدم إصداراً متأثراً، فالتصرف الأنسب هو التحديث إلى إصدار أحدث من 1.13.18 يتضمن الإصلاح المشار إليه في مرجع changeset الرسمي.

في الحالات التي يتعذر فيها التحديث فوراً، يكون التعطيل المؤقت للإضافة خياراً دفاعياً لتقليل سطح الهجوم إلى أن يتم تطبيق الإصلاح. هذا مهم بشكل خاص في خوادم الاستضافة التي تستضيف عدة مواقع WordPress ويصعب فيها انتظار نوافذ صيانة طويلة.

للعثور على الإضافة عبر السيرفر:

find /var/www -path "*/wp-content/plugins/geo-mashup" -type d

للتحقق من الإضافة عبر WP-CLI داخل موقع محدد:

wp plugin list --path=/var/www/html | grep geo-mashup

للتحقق من رقم الإصدار مباشرة من ملف الإضافة:

grep -i "^Version:" /var/www/html/wp-content/plugins/geo-mashup/geo-mashup.php

لتحديث الإضافة إن كان WP-CLI متاحاً:

wp plugin update geo-mashup --path=/var/www/html

وللتعطيل المؤقت إذا تعذر التحديث فوراً:

wp plugin deactivate geo-mashup --path=/var/www/html

بعد تنفيذ التحديث، أعد التحقق من الحالة والإصدار:

wp plugin list --path=/var/www/html | grep geo-mashup

الخلاصة والتوصية

هذه الثغرة تمس جانباً حساساً جداً في مواقع WordPress، وهو الوصول إلى قاعدة البيانات عبر إضافة مستخدمة في الواجهة الأمامية. الخطر الأهم لمديري السيرفرات ليس فقط وجود ثغرة SQL Injection، بل كونها قابلة للاستغلال دون تسجيل دخول. التوصية العملية هي حصر جميع المواقع التي تستخدم Geo Mashup، التحقق من أي إصدار حتى 1.13.18، ثم التحديث فوراً إلى إصدار أحدث، أو تعطيل الإضافة مؤقتاً إلى أن يكتمل التصحيح.

📎 ملفات التحميل

📄 English Security Advisory – تقرير احترافي للمختصين

📝 Technical README (Markdown) – وثائق تقنية للفرق الداخلية

تحذير: ثغرة خطيرة في إضافة Salon Booking System تكشف ملفات سيرفرك

Posted on by wpadmin

كُشف عن ثغرة أمنية عالية الخطورة في إضافة Salon Booking System – Free Version الخاصة بووردبريس، تؤثر على جميع الإصدارات حتى 10.30.25. تسمح الثغرة لمهاجمين غير موثّقين بقراءة ملفات عشوائية على السيرفر. يُنصح بالتحديث الفوري لحماية بيانات الموقع وملفات الإعدادات الحساسة.

⚠️ عالية · CVSS 7.5CVE-2026-6320 · CWE-22

التفاصيل التقنية للثغرة

تحمل الثغرة المعرّف CVE-2026-6320 وتُصنَّف ضمن فئة CWE-22 (Path Traversal – عبور المسارات). تكمن المشكلة في مسار الحجز العام (public booking flow) الخاص بالإضافة، حيث يقبل النظام قيم حقول ملفات يتحكم بها المهاجم، ثم يستخدم تلك القيم المخزّنة لاحقاً كمسارات موثوقة لإرفاق الملفات في رسائل تأكيد الحجز عبر البريد الإلكتروني.

النتيجة المباشرة هي أن المهاجم غير المصادَق عليه (unauthenticated) يستطيع توجيه الإضافة لقراءة أي ملف محلي على السيرفر يمكن لعملية الويب (عادةً www-data أو nginx) الوصول إليه، ثم تسريبه خارج السيرفر بوصفه مرفقاً ببريد تأكيد الحجز.

من الملفات المعرّضة للخطر في بيئة الاستضافة:

  • ملف wp-config.php الذي يحوي بيانات اعتماد قاعدة البيانات ومفاتيح الأمان.
  • ملفات .env وملفات الإعدادات الخاصة بالتطبيقات الأخرى على نفس السيرفر.
  • ملفات النظام مثل /etc/passwd وسجلات الخدمات.
  • مفاتيح SSH الخاصة إن كانت ضمن نطاق صلاحيات العملية.
CVE-2026-6320 - Nginx - رسم توضيحي أمني ثنائي الأبعاد
CVE-2026-6320 · Nginx · 2D Explainer

درجة الخطورة

حصلت الثغرة على درجة 7.5 في مقياس CVSS وصُنِّفت بمستوى HIGH (عالي). ترتفع خطورتها للأسباب التالية:

  • لا تتطلب مصادقة: أي زائر مجهول يستطيع استغلالها.
  • سهولة الاستغلال: تمر عبر مسار الحجز العام المتاح افتراضياً.
  • تسريب بيانات قاعدة البيانات: قراءة wp-config.php تعني اختراقاً محتملاً كاملاً للموقع.
  • قناة استخراج غير مباشرة: استخدام البريد الإلكتروني كقناة تسريب يصعّب اكتشافها في سجلات الجدار الناري.

لم تُدرَج الثغرة حتى الآن في قائمة CISA KEV للثغرات المُستغلَّة فعلياً.

هل تم استغلالها؟

لا توجد حتى لحظة النشر تقارير عامة مؤكدة عن استغلال فعلي واسع النطاق لهذه الثغرة في البرية (in the wild)، كما أنها غير مُدرجة في كتالوج CISA KEV. مع ذلك، فإن طبيعة الثغرة (عدم الحاجة لمصادقة + سهولة الوصول لمسار الحجز العام) تجعلها هدفاً جذاباً للمهاجمين بمجرد نشر تفاصيل الإصلاح. يُتوقع ظهور أدوات استغلال آلية (exploit scripts) خلال فترة قصيرة من الإفصاح.

الحل والإصلاح

الإجراء الأساسي هو التحديث الفوري لإضافة Salon Booking System إلى إصدار أعلى من 10.30.25. على مسؤولي استضافة المواقع اتباع الخطوات التالية:

أولاً: تحقق من إصدار الإضافة المثبّت حالياً عبر WP-CLI:

wp plugin get salon-booking-system --field=version

ثانياً: قم بتحديث الإضافة إلى أحدث إصدار:

wp plugin update salon-booking-system

ثالثاً: للبحث عن جميع المواقع المتأثرة على سيرفر استضافة مشترك:

find /var/www -type d -name "salon-booking-system"

رابعاً: فحص سجلات الوصول للكشف عن محاولات استغلال سابقة تستهدف مسار الحجز:

grep -E "salon-booking|sbs_" /var/log/nginx/access.log | grep -iE "../|/etc/|wp-config"

خامساً: في حال الاشتباه بالاستغلال، قم بتدوير بيانات الاعتماد فوراً:

wp config shuffle-salts

ثم غيّر كلمة مرور قاعدة البيانات من لوحة التحكم (cPanel / Plesk) أو عبر MySQL مباشرة.

سادساً: كإجراء وقائي مؤقت إذا تعذّر التحديث الفوري، يمكن تعطيل الإضافة:

wp plugin deactivate salon-booking-system

الخلاصة والتوصية

ثغرة CVE-2026-6320 تمثّل تهديداً مباشراً لأي موقع ووردبريس يستخدم إضافة Salon Booking System بإصدار 10.30.25 أو أقدم، خاصةً أنها قابلة للاستغلال دون مصادقة وقد تؤدي إلى تسريب wp-config.php وبيانات قاعدة البيانات. نوصي مزوّدي خدمات الاستضافة بفحص جميع المواقع على السيرفرات المشتركة، ودفع تحديث جماعي للإضافة، ومراقبة سجلات البريد الصادر بحثاً عن مرفقات مشبوهة. تطبيق مبدأ الدفاع متعدد الطبقات عبر WAF وتقييد صلاحيات قراءة الملفات (chroot / open_basedir) يُقلل من الأثر في حال ظهور ثغرات مشابهة مستقبلاً.

📎 ملفات التحميل

📄 English Security Advisory – تقرير احترافي للمختصين

📝 Technical README (Markdown) – وثائق تقنية للفرق الداخلية