كشفت مراجعة تقنية دقيقة لشيفرة المصدر الخاصة بإضافة النظام المشتركة في بيئة إدارة المحتوى الشهيرة Joomla، والمعروفة سابقاً باسم Novarain Framework والمحدثة حالياً باسم Tassos Framework، عن وجود 3 ثغرات أمنية جسيمة. وتكمن خطورة هذه الثغرات في إمكانية استغلالها عن بُعد دون الحاجة لتسجيل دخول مسبق، ما يمهد الطريق لعمليات قراءة ملفات النظام، أو حذفها، وصولاً إلى حقن قواعد البيانات SQL للوصول إلى المعلومات الحساسة.
نشر هذه النتائج فريق SSD Secure Disclosure ضمن إفصاح تقني. وأوضح التقرير أن الباحث المستقل p1r0x هو من اكتشف هذه الفجوات بالتعاون مع الفريق. وتكمن الخطورة التشغيلية في قدرة المهاجمين على ربط هذه الثغرات معاً في سلسلة هجومية تتيح لهم سرقة جلسات المسؤول الأعلى (Super Administrator)، وهو ما يعني تجاوز حواجز الحماية والدخول مباشرة إلى لوحة التحكم الإدارية.
سلسلة الاستغلال التقني
تتركز المشكلة الأساسية في الإضافة المشتركة plg_system_nrframework، حيث تفتح آلية المعالجة مساراً عبر مكون com_ajax يسمح باستدعاء مهمة محددة (task=include) دون وجود تحقق كاف من سلامة المدخلات.
من الناحية التقنية، يقوم هذا المسار بتحميل ملفات PHP بناء على طلبات خارجية، ما قد يحول وظائف النظام الداخلية إلى واجهات قابلة للاستدعاء من قِبل أطراف خارجية غير مصرح لها. وقد وثق الإفصاح 3 نقاط استغلال رئيسية هي:
- قراءة ملفات دون مصادقة: استغلال خلل في طريقة تحميل ملفات CSV يتيح للمهاجم الاطلاع على ملفات إعدادات الخادم وسجلاته الحساسة.
- حذف ملفات دون مصادقة: وجود مسار في مكون رفع الملفات يقبل أوامر الحذف مباشرة، ما قد يؤدي إلى تخريب ملفات الموقع أو إزالة طبقات الحماية.
- حقن SQL وقراءة البيانات: استهداف الحقول الديناميكية المخصصة لجلب العناصر (Items) لتنفيذ استعلامات غير مشروعة في قاعدة البيانات، وكشف عن جداول وبيانات المستخدمين والمديرين.
المكونات والإصدارات المتأثرة بالخطر
نظراً لأن هذه الإضافة تُدمج غالباً ضمن حزم برمجية لإضافات أخرى، فإن الخطر يمتد لمواقع قد لا تدرك أنها تستخدم هذا الإطار البرمجي. وتشمل قائمة الإصدارات المتأثرة:
| الإضافة البرمجية | الإصدارات المتأثرة |
|---|---|
| plg_system_nrframework | من 4.10.14 إلى 6.0.37 |
| Convert Forms | من 3.2.12 إلى 5.1.0 |
| EngageBox | من 6.0.0 إلى 7.1.0 |
| Google Structured Data | من 5.1.7 إلى 6.1.0 |
| Advanced Custom Fields | من 2.2.0 إلى 3.1.0 |
| Smile Pack | من 1.0.0 إلى 2.1.0 |
سيناريو الاستحواذ الكامل
يصف التقرير مساراً واقعياً للهجوم يبدأ من الإنترنت مباشرة وينتهي بالسيطرة الكاملة:
- الاختراق الأولي: استخدام حقن SQL لسحب بيانات الجلسات النشطة للمديرين من قاعدة البيانات.
- التسلل الإداري: استخدام هذه البيانات للدخول إلى لوحة التحكم (/administrator) بصفة مدير بصلاحيات كاملة.
- السيطرة الدائمة: تثبيت برمجيات خبيثة أو تعديل قوالب الموقع لتنفيذ أوامر عن بُعد (RCE)، ما يضمن للمهاجم بقاء دائماً داخل الخادم حتى بعد تغيير كلمات المرور.
موقف المورد والوضع الحالي
أفاد فريق SSD Secure Disclosure بأن الشركة المطورة أصدرت تحديثات لمعالجة هذه الثغرات. ومع ذلك، لوحظ أن صفحة التنزيلات الرسمية تتطلب تسجيل دخول، يصعب ذلك من عملية التحقق العلني من أرقام الإصدارات المصححة للجمهور العام.
وحتى تاريخ إعداد هذا التقرير، لا توجد أدلة مؤكدة على وقوع هجمات واسعة النطاق تستغل هذه الثغرات في الواقع، إلا أن التحذيرات تظل قائمة نظراً لشدة الأثر المحتمل في حال تم استغلالها.
