ثغرة Everest Forms Pro تهدد آلاف مواقع ووردبريس بالاختراق

كشف تقرير أمني عن ثغرة حرجة في إضافة Everest Forms Pro لنظام ووردبريس، تسمح للمهاجمين بالسيطرة الكاملة على المواقع، مما يضع آلاف المستخدمين في خطر داهم.

وفقاً لما تابعه موقع تيكبامين، فإن المهاجمين يستغلون حالياً ثغرة أمنية بالغة الخطورة في إضافة "إيفرست فورمز برو" (Everest Forms Pro)، وهي أداة شهيرة لبناء النماذج تُستخدم في نحو 4000 موقع نشط. تتيح هذه الثغرة تنفيذ أكواد برمجية عشوائية، مما يؤدي في النهاية إلى اختراق الموقع بالكامل والتحكم في قواعد بياناته وملفاته الحساسة.

ما هي خطورة ثغرة Everest Forms Pro الجديدة؟

تحمل الثغرة المكتشفة الرمز التعريفي CVE-2026-3300، وقد حصلت على درجة خطورة قصوى بلغت 9.8 من 10 على مقياس CVSS. وتكمن المشكلة في كافة إصدارات الإضافة حتى النسخة 1.9.12، حيث تتركز المشكلة في وظيفة برمجية داخل ملحق الحسابات (Calculation Addon).

وتعود التفاصيل التقنية للثغرة إلى فشل نظام الفلترة في معالجة البيانات التي يدخلها المستخدمون؛ حيث يتم دمج القيم المدخلة في النماذج مباشرة ضمن سلسلة أكواد PHP دون إجراء عمليات تنقية كافية (Escaping). هذا الخلل يسمح للمهاجمين بحقن أوامر برمجية خبيثة وتنفيذها مباشرة على الخادم.

كيف يتم استغلال الثغرة للسيطرة على المواقع؟

أوضح خبراء الأمن الرقمي أن المهاجمين غير المصرح لهم يمكنهم استغلال الثغرة في أي حقل نصي داخل النماذج (مثل الاسم، البريد الإلكتروني، أو الرابط) طالما أن النموذج يستخدم ميزة "الحسابات المعقدة". وبمجرد نجاح الهجوم، يمكن للمخترق القيام بالآتي:

• إنشاء حسابات مسؤول (Administrator) مزيفة للتحكم في لوحة التحكم.
• زرع برمجيات "Web Shells" لضمان الوصول الدائم للخادم.
• سرقة بيانات المستخدمين والعملاء المسجلة في الموقع.
• استخدام الخادم كنقطة انطلاق لهجمات أخرى على شبكات داخلية.

وحسبما رصده تيكبامين، فقد بدأت محاولات الاستغلال الفعلي لهذه الثغرة منذ منتصف شهر أبريل 2026، حيث تم رصد أكثر من 29,300 محاولة اختراق استهدفت هذا الخلل البرمجي. ومن المثير للاهتمام أن أغلب الهجمات تحاول إنشاء حساب مسؤول يحمل الاسم "diksimarina" وبريد إلكتروني مرتبط به، وهو ما يعد علامة واضحة على تعرض الموقع للاختراق.

تحديث أمني عاجل لمستخدمي ووردبريس

لحسن الحظ، أطلق مطورو الإضافة تحديثاً أمنياً يعالج هذه الثغرة بشكل كامل. ويُنصح جميع أصحاب المواقع الذين يستخدمون Everest Forms Pro باتباع الإجراءات التالية فوراً:

• التحديث إلى الإصدار 1.9.13 أو أحدث بأسرع وقت ممكن.
• مراجعة قائمة المستخدمين في لوحة التحكم للتأكد من عدم وجود حسابات مشبوهة.
• تغيير كلمات المرور لكافة حسابات المسؤولين كإجراء احترازي.
• استخدام إضافات حماية قوية لمراقبة محاولات الحقن البرمجي.

حملات Skimmer تستغل Stripe لتجاوز الحماية

في سياق متصل بالأمن الرقمي، ظهرت تحذيرات من حملات اختراق تستهدف المتاجر الإلكترونية عبر استغلال سمعة منصة الدفع الشهيرة سترايب (Stripe). يقوم المهاجمون باستخدام البنية التحتية للمنصة كخادم للتحكم والسيطرة (C2) ولتخزين بيانات بطاقات الائتمان المسروقة.

تعتمد هذه الحملة على حقيقة أن معظم فلاتر الحماية وقواعد أمن المحتوى (CSP) تثق بشكل تلقائي بنطاقات Stripe ونطاقات Google Tag Manager. وبذلك، يتم تحميل الأكواد الخبيثة من مصادر موثوقة ظاهرياً، مما يجعل اكتشاف الهجوم أمراً بالغ الصعوبة على الأنظمة التقليدية. ويؤكد الخبراء أن المهاجمين لا يسعون لغسل الأموال عبر المنصة، بل يستخدمونها كقاعدة بيانات مجانية وآمنة لعملياتهم المشبوهة.