ثغرة خطيرة في إضافة ووردبريس Modular DS تمنح صلاحيات أدمن

كشفت تقارير أمنية حديثة عن ثغرة أمنية حرجة للغاية (Zero-Day) في إضافة "Modular DS" الشهيرة على منصة ووردبريس، والتي يتم استغلالها بنشاط حالياً من قبل المهاجمين للسيطرة على المواقع.

ووفقاً لما رصده فريق تيكبامين، فإن هذه الثغرة المصنفة بدرجة خطورة قصوى (10/10) تسمح للمهاجمين بالحصول على صلاحيات المدير (Admin) دون الحاجة لأي مصادقة سابقة، مما يعرض آلاف المواقع للخطر المباشر.

ما هي تفاصيل ثغرة CVE-2026-23550؟

تستهدف هذه الثغرة الخطيرة، التي تحمل المعرف البرمجي CVE-2026-23550، آلية التوجيه في الإضافة، مما يؤثر على جميع الإصدارات السابقة للإصدار 2.5.2. وتكمن المشكلة في إمكانية تجاوز طبقات الحماية الأمنية بسهولة.

وتتلخص خطورة الثغرة في النقاط التالية:

• درجة الخطورة: 10.0 (القصوى).
• نوع الثغرة: تصعيد الصلاحيات غير الموثق (Unauthenticated Privilege Escalation).
• الإصدارات المصابة: 2.5.1 وما قبلها.
• عدد المواقع المتأثرة: أكثر من 40,000 موقع نشط.

كيف يتم اختراق مواقع ووردبريس عبر هذه الثغرة؟

يكمن الخلل التقني في كيفية تعامل الإضافة مع المسارات المحمية (Routes). عادةً ما تكون المسارات تحت البادئة "/api/modular-connector/" محمية، ولكن تم اكتشاف طريقة للالتفاف على هذا التحقق.

يمكن للمهاجمين تجاوز جدار المصادقة ببساطة عن طريق إرسال طلب مباشر (Direct Request) يتضمن معايير محددة:

• إضافة المعيار "origin" بقيمة "mo".
• إضافة المعيار "type" بأي قيمة عشوائية.

عند تنفيذ هذا الطلب، يتعامل النظام معه وكأنه طلب داخلي موثوق من Modular، مما يفتح الباب أمام المهاجم للوصول إلى مسارات حساسة جداً.

ما هي مخاطر استغلال ثغرة Modular DS؟

بمجرد تجاوز المصادقة، يصبح الموقع مفتوحاً بالكامل أمام المهاجمين. وتشير تحليلات تيكبامين إلى أن هذا الخلل يمنح المخترقين قدرات واسعة تشمل:

• الدخول إلى لوحة التحكم بصلاحيات المدير عبر مسار "/login/{modular_request}".
• سرقة بيانات النظام والمستخدمين الحساسة.
• الوصول إلى النسخ الاحتياطية (Backups).
• تثبيت برمجيات خبيثة أو إعادة توجيه الزوار لصفحات احتيالية.

متى بدأت الهجمات وما هو الحل؟

بدأت عمليات الاستغلال النشط لهذه الثغرة في 13 يناير 2026، حيث رصد الباحثون محاولات كثيفة لإنشاء حسابات مسؤولين جدد (Admin Users) بشكل غير شرعي على المواقع المصابة.

لحماية موقعك بشكل فوري، يجب عليك اتباع الخطوات التالية:

• تحديث إضافة Modular DS فوراً إلى الإصدار 2.5.2 أو أحدث.
• مراجعة قائمة المستخدمين في ووردبريس وحذف أي حسابات مسؤولين غير معروفة.
• فحص سجلات الموقع بحثاً عن أي طلبات مشبوهة للمسار "/api/modular-connector/login/".

تعتبر هذه الحادثة تذكيراً قوياً بأهمية التحديث المستمر للإضافات، حيث أن الثقة الضمنية في مسارات الطلبات الداخلية قد تكون قاتلة إذا لم يتم تأمينها بشكل صحيح، وهو ما يشدد عليه خبراء الأمن الرقمي دائماً.