كشف باحثون أمنيون عن ثغرة خطيرة في إضافة “WPForms”، التي تُستخدم في أكثر من 6 ملايين موقع ووردبريس، تُمكن مستخدمين بمستوى وصول محدود (مثل المشتركين) من تنفيذ عمليات استرجاع أموال عبر “Stripe” أو إلغاء اشتراكات بدون إذن مسبق.
اقرأ/ي أيضاً: عقوبات أمريكية على شركة صينية بسبب هجمات سيبرانية تستهدف البنية التحتية الحساسة
تصنيف الثغرة ومدى تأثيرها
تم تسجيل الثغرة تحت الرمز “CVE-2024-11205“، وصُنفت على أنها ذات خطورة عالية بسبب اشتراط وجود مصادقة للاستغلال. إلا أن توفر أنظمة العضوية في معظم المواقع يجعل استغلالها أمراً سهلاً نسبياً. تشمل الثغرة الإصدارات من 1.8.4 وحتى 1.9.2.1 من “WPForms”، وقد تم إصدار تحديث أمني في النسخة 1.9.2.2 بتاريخ 18 تشرين الثاني/نوفمبر 2024 لمعالجة المشكلة.
تفاصيل الثغرة وآلية الاستغلال
تعتمد الثغرة على الاستخدام غير الصحيح للدالة `wpforms_is_admin_ajax()` لتحديد ما إذا كان الطلب صادرًا من واجهة إدارية. ومع أن هذه الدالة تتحقق من مصدر الطلب، إلا أنها لا تتضمن ضوابط صارمة لتحديد الصلاحيات بناءً على دور المستخدم.
هذا الخلل يُمكّن أي مستخدم مصادق عليه، بما في ذلك المشتركين، من تنفيذ وظائف حساسة مثل `ajax_single_payment_refund()`، التي تقوم باسترجاع الأموال عبر “Stripe”، و`ajax_single_payment_cancel()`، التي تلغي الاشتراكات.
عواقب الاستغلال
قد يؤدي استغلال هذه الثغرة إلى خسائر مالية فادحة للمواقع المتضررة، فضلاً عن تعطل الأعمال وفقدان الثقة بين العملاء وأصحاب المواقع. ومع ذلك، لم يتم رصد استغلال نشط للثغرة حتى الآن، وفقًا لتقارير “Wordfence”.
جهود التصحيح والتحديث
اكتشف الباحث الأمني المعروف باسم “vullu164” الثغرة، وأبلغ عنها ضمن برنامج مكافآت الثغرات الخاص بـ “Wordfence” في 8 تشرين الثاني/نوفمبر 2024، حيث حصل على مكافأة قدرها 2376 دولاراً.
تم تأكيد التقرير من قِبل “Wordfence”، الذي أرسل تفاصيل المشكلة إلى الشركة المطورة للإضافة “Awesome Motive” في 14 تشرين الثاني/نوفمبر 2024. وسرعان ما أطلقت الشركة النسخة المُصححة 1.9.2.2 بعد أربعة أيام فقط، والتي تضمنت تحسينات في آليات التحقق من الصلاحيات وإضافة ضوابط أمان جديدة.
نصيحة للمستخدمين
بحسب إحصائيات “WordPress.org”، حوالي نصف المواقع التي تستخدم “WPForms” لم تُحدث إلى الإصدارات الأحدث (فرع 1.9.x)، مما يعني أن نحو 3 ملايين موقع لا تزال عُرضة للخطر. لذلك، يُوصى بشدة بتحديث الإضافة إلى النسخة 1.9.2.2 أو تعطيلها بشكل مؤقت حتى التحديث.
ختاماً
تُظهر هذه الحادثة أهمية تحديث الإضافات بشكل مستمر وسريع، لا سيما تلك المتعلقة بمعالجة المدفوعات، لضمان أمان الموقع وحماية بيانات العملاء والمستخدمين.
