ثغرتان خطيرتان في إضافة ووردبريس شهيرة تعرض آلاف المواقع لخطر الاختراق الكامل

كشف باحثون في مجال الأمن السيبراني عن وجود ثغرتين أمنيتين بالغتي الخطورة في إضافة WP Ultimate CSV Importer المخصصة لنظام إدارة المحتوى ووردبريس، مما يعرّض أكثر من 20,000 موقع إلكتروني لخطر الاستغلال الكامل.

تحميل وحذف ملفات بحرية: الطريق نحو السيطرة الكاملة

الثغرتان المكتشفتان، واللتان تصنفان كـ ثغرة تحميل ملفات تعسفية وثغرة حذف ملفات تعسفية، تؤثران على جميع الإصدارات حتى النسخة 7.19 من الإضافة. وبحسب تنبيه أمني جديد من شركة Wordfence، فإن استغلال هذه الثغرات يمكّن المهاجم من تنفيذ أوامر عن بُعد (RCE)، أو إجبار الموقع على إعادة التهيئة بطريقة تسمح باختراقه الكامل.

• الثغرة الأولى (CVE-2025-2008) بتصنيف خطورة 8.8، تنبع من وظيفة import_single_post_as_csv() والتي تفتقر إلى التحقق من نوع الملف، ما يتيح للمهاجم رفع ملفات PHP خبيثة وتنفيذها عن بُعد.
• الثغرة الثانية (CVE-2025-2007) بتصنيف خطورة 8.1، ترتبط بوظيفة deleteImage() التي لا تحتوي على تحقق كافٍ من مسار الملفات، مما يمكّن المهاجم من حذف ملفات حساسة مثل wp-config.php، ما يؤدي إلى إعادة ضبط الموقع وفتح المجال للسيطرة عليه.

استجابة سريعة… ولكن الخطر ما زال قائمًا

تم الإبلاغ عن الثغرتين عبر برنامج المكافآت الأمنية من Wordfence بواسطة الباحث “mikemyers”، وتم إخطار الشركة المطورة Smackcoders في 5 مارس 2025. وردّت الشركة على البلاغ في 7 مارس، وأطلقت التحديث 7.19.1 في 25 مارس لإصلاح المشكلة.

تحذير عاجل من Wordfence

قالت Wordfence في بيان رسمي:
“نحث جميع مستخدمي ووردبريس على التأكد من تحديث مواقعهم إلى النسخة الأحدث من WP Ultimate CSV Importer في أسرع وقت، نظرًا لخطورة هذه الثغرات.”