ثغرة أمنية في إحدى إضافات ووردبريس تمنح التحكم الكامل في ملايين المواقع

اكتشف المخترقون مؤخرًا ثغرةً حساسة في واحدة من أكثر إضافات الووردبريس استخدامًا، ليتمكنوا من السيطرة على ملايين المواقع، بحسب ما نقل باحثون.

حصلت الثغرة على تقييم خطورة بلغ 8.8 من 10، وهي موجودة في إضافة Elementor Pro، التي تعمل على أكثر من 12 مليون موقع مدعوم بوساطة نظام إدارة محتوى ووردبريس.

يُتيح Elementor Pro للمستخدمين بناء مواقع ويب عالية الجودة بواسطة الأدوات العديدة والمتنوعة التي تأتي معه. تتضمن هذه الأدوات إضافةً أخرى مستقلة تُسمى WooCommerce، وهي واحدة من أشهر إضافات ووردبريس.

إذا تحققت شروط الاستخدام للأدوات المذكورة في ووردبريس، يستطيع أي شخص لديه حساب على الموقع -بوصفه مشتركًا أو مستخدمًا- إنشاء حسابات جديدة تتمتع بامتيازات مسؤول الصفحة.

اكتشف الثغرة جيرومي بروندت، وهو باحث يعمل في شركة الأمن NinTechNet.

أصدر مطور Elementor Pro المدعو Elementor النسخة 3.11.7 لإصلاح الثغرة الأمنية في ووردبريس. لاحقًا نشر بروندت: «بإمكان مستخدم موثق استغلال الثغرة وإنشاء حساب له صلاحيات مسؤول صفحة، بإتاحة الخيار (users_can_register)، وتحديد الدور الأساسي (default_role) بأنه «مسؤول»، أو تغيير عنوان البريد الإلكتروني إلى مسؤول الصفحة (admin_email). توجد طريقة أخرى أيضًا أساسها إعادة توجيه حركة المرور إلى موقع ويب خارجي ضار، وذلك بتغيير siteurl، أو غيرها من الاحتمالات الأخرى».

ترجمة: طاهر قوجة