
رُصدت ثغرة أمنية حرجة في إضافة Post SMTP الخاصة بإرسال البريد الإلكتروني في مواقع WordPress، وهي مستخدمة حالياً في أكثر من 400,000 موقع. وقد تم اكتشاف الثغرة من قبل باحث أمني في مايو 2025، وتتمثل في خلل في آلية التحكم في الوصول (Broken Access Control) مما يسمح لأي مستخدم مُسجّل، حتى ولو كان مشتركاً عادياً، بالوصول إلى بيانات شديدة الحساسية داخل النظام.
ووفقاً لشركة Patchstack المتخصصة في أمن WordPress، تتيح هذه الثغرة للمهاجم استعراض إحصائيات البريد، وإعادة إرسال رسائل سابقة، والاطلاع على سجلات البريد الإلكتروني التي تحتوي أحياناً على نصوص رسائل إعادة تعيين كلمات المرور، بما في ذلك الخاصة بحسابات المدراء. وبذلك يمكن للمهاجم استخدام هذه الرسائل لإعادة تعيين كلمة مرور حسابات إدارية والسيطرة الكاملة على الموقع المستهدف.
وقد تم إصدار تصحيح أمني للثغرة تحت المعرف CVE-2025-24000 ضمن الإصدار 3.3 من الإضافة بتاريخ 11 يونيو 2025. إلا أن بيانات الاستخدام من موقع WordPress.org تظهر أن أقل من نصف المواقع قد قامت بالتحديث حتى الآن، مما يعني أن أكثر من 200,000 موقع ما زال عرضة للهجوم.
هذا الحادث يُبرز أهمية تحديث الإضافات والقوالب في مواقع WordPress بشكل فوري، إذ تُعد هذه المكونات أهدافاً شائعة لجهات التهديد التي تستغل الثغرات فيها لشنّ هجمات إلكترونية قد تكون مدمّرة.
نص توضيحي أسفل الصورة: خلل أمني في إضافة Post SMTP يُهدد آلاف المواقع الإلكترونية بسبب ضعف التحديثات الأمنية.