اكتُشفت ثغرة أمنية خطيرة في إضافة “Paid Membership Subscriptions” لنظام إدارة المحتوى ووردبريس، والتي تُستخدم في أكثر من 10 آلاف موقع إلكتروني لتنظيم العضويات والمدفوعات المتكرّرة.
الثغرة التي تحمل مُعرّف CVE-2025-49870 تؤثر على الإصدارات حتى 2.15.1، وتسمح للمهاجمين بحقن استعلامات SQL ضارة مباشرة إلى قاعدة البيانات، من دون الحاجة إلى بيانات تسجيل دخول.
الباحث الأمني ChuongVN من تحالف Patchstack Alliance هو من رصد الثغرة، وأكّد أنها أُغلقت في التحديث الأخير للإضافة رقم 2.15.2.
آلية عمل الثغرة… واستخدامات خطيرة لاستغلالها
تنشأ الثغرة من طريقة تعامل الإضافة مع إشعارات الدفع الفوري (IPN) الخاصة بخدمة “باي بال”. إذ تعتمد على رقم المعاملة المُرسَل من المستخدم، وتُدرجه بشكل مباشر في استعلام SQL من دون التحقق من صحته.
هذا الخلل يمكّن المهاجم من تمرير استعلامات مخصصة، قد تُستخدم للاطلاع على معلومات حساسة أو تعديل بيانات في قاعدة الموقع، مما يهدد خصوصية المستخدمين وسلامة النظام.
وللتصدي لهذا الخطر، تضمّن التحديث الأخير تغييرات بارزة منها:
- التحقق من أن رقم المعاملة المدخل رقمي قبل استخدامه
- الاستغناء عن تركيب الاستعلامات بطريقة الربط، واستبدالها بجمل Prepared Statements
- تشديد آليات التحقق من مدخلات المستخدم
تُعد جمل الـ Prepared Statements من الأساليب الأساسية للحماية من هجمات SQL Injection، إذ تمنع أي تغيير في بنية الاستعلام الأصلي، مهما كانت مدخلات المستخدم.
مخاطر SQL Injection وممارسات الحماية الموصى بها
تُعد هجمات SQL Injection من أخطر التهديدات التي تستهدف تطبيقات الويب، نظراً لقدرتها على كشف قواعد بيانات كاملة أو تعديلها أو حتى حذفها.
ووفقاً لتحذيرات Patchstack، ينبغي على المطورين دائماً “تطهير مدخلات المستخدم وتنسيقها بشكل آمن قبل تنفيذ أي استعلام على قاعدة البيانات، مع الالتزام باستخدام جمل Prepared Statements وتحويل المتغيرات إلى نوعها الصحيح قبل الاستخدام”.
يوصى جميع مستخدمي الإضافة بتحديثها فوراً إلى الإصدار 2.15.2 لضمان حماية مواقعهم من الاستغلال.
