CISA تحذر من ثغرة جوملا JCE: خطر تنفيذ أكواد PHP

تحذر وكالة CISA من ثغرة أمنية حرجة في إضافة JCE لنظام جوملا، تسمح للمخترقين بتنفيذ أكواد PHP والتحكم الكامل في المواقع المصابة بشكل فعال.

أضافت وكالة الأمن السيبراني وأمن البنية التحتية الأمريكية (CISA) ثغرة أمنية شديدة الخطورة تؤثر على محرّر محتوى جوملا (JCE) إلى كتالوج الثغرات المستغلة المعروفة (KEV)، مشيرة إلى وجود أدلة على استغلالها النشط في الوقت الحالي.

ما هي مخاطر ثغرة جوملا JCE الجديدة؟

تُعرف الثغرة برمز التتبع CVE-2026-48907 وقد حصلت على درجة خطورة قصوى بلغت 10.0 على مقياس CVSS العالمي. تعود المشكلة الأساسية إلى خلل في التحكم في الوصول، مما يسهل تنفيذ تعليمات برمجية عشوائية على الخادم المستضيف للموقع.

وفقاً لما تابعه فريق تيكبامين، تكمن خطورة هذه الثغرة في قدرتها على منح المهاجمين الصلاحيات التالية:

• إنشاء ملفات تعريف محرّر جديدة للمستخدمين غير المصرح لهم (بدون تسجيل دخول).
• رفع وتنفيذ ملفات PHP خبيثة مباشرة على الخادم.
• الوصول الكامل إلى ملفات الموقع وتعديلها أو حذفها.

الإصدارات المتأثرة والحلول المقترحة

أكد الخبراء أن هذه المشكلة الأمنية تؤثر على نطاق واسع من إصدارات إضافة JCE الشهيرة، وهي كالتالي:

• الإصدارات المتأثرة: من 1.0.0 وحتى 2.9.99.4.
• الإصدار الآمن: تم إطلاق الحل في الإصدار 2.9.99.5 بتاريخ 3 يونيو 2026.

أصدرت الشركة المطورة ملاحظات تقنية توضح أن "ضوابط الوصول غير الكافية سمحت للمستخدمين غير المصرح لهم برفع ملفات تعريف المحرر"، وحثت جميع المستخدمين على التحديث الفوري لتجنب الاختراق.

هل ووردبريس عرضة للهجمات السيبرانية حالياً؟

يأتي هذا التحذير بالتزامن مع كشف تفاصيل حملة هجوم "سلسلة التوريد" التي استهدفت أكثر من مليون موقع يستخدم إضافات ووردبريس شهيرة مثل OptinMonster و TrustPulse و PushEngage.

تتضمن آلية الهجوم حقن أكواد JavaScript خبيثة تقوم بالمهام التالية:

• انتظار تسجيل دخول مدير الموقع الفعلي.
• إنشاء حساب مسؤول "خلفي" (Backdoor Admin) سري.
• تثبيت إضافة خبيثة مخفية تضمن للمهاجم الوصول الدائم حتى بعد اكتشاف الهجوم الأولي.

ما هي قصة إضافة ووردبريس المزيفة Beloved PBN؟

في حملة أخرى منفصلة، اكتشف باحثون اختراق مواقع ووردبريس لزرع إضافة مزيفة تسمى "Beloved PBN Entegrasyonu". هذه الإضافة تقوم بإرسال رابط الموقع إلى واجهة برمجة تطبيقات (API) خارجية عند كل تحميل لصفحات الموقع.

كما ذكر تقرير تيكبامين، فإن المهاجمين تمكنوا من زرع "قذائف ويب" (Web Shells) داخل سجلات قاعدة البيانات في جدول "wp_posts"، مما منحهم المزايا التالية:

• قراءة وكتابة وحذف أي ملف على كامل نظام ملفات الخادم.
• تصفح المجلدات وتغيير أذونات الوصول للملفات الحساسة.
• إنشاء ملفات ومجلدات جديدة ورفع ملفات إضافية دون أي قيود أمنية.

توصيات أمنية هامة لحماية موقعك

نظراً لخطورة هذه الثغرات، خاصة مع إلزام الوكالات الحكومية بتطبيق الإصلاحات قبل 19 يونيو 2026، يجب على مديري المواقع اتباع الإجراءات التالية فوراً:

• تحديث إضافة JCE في نظام جوملا إلى الإصدار 2.9.99.5 أو أحدث.
• مراجعة قائمة الإضافات في ووردبريس وحذف أي إضافات غير موثوقة.
• تغيير كلمات مرور قواعد البيانات وحسابات المسؤولين وتفعيل المصادقة الثنائية.

في الختام، يظل الحفاظ على تحديث البرمجيات والإضافات هو خط الدفاع الأول والأساسي ضد هذه التهديدات الأمنية المتطورة التي تستهدف استقرار المواقع الرقمية وخصوصية بياناتها.