أدرجت وكالة الأمن السيبراني وأمن البنية التحتية الأمريكية (CISA) ثغرتين أمنيتين حرجتين، تستهدفان إضافات شائعة في نظام إدارة المحتوى Joomla، ضمن كتالوج الثغرات المستغلة المعروفة (KEV). وجاء هذا الإجراء عقب تأكيد تقارير فنية تفيد باستغلالهما بنجاح كجزء من هجمات صفرية (Zero-Days) نشطة استهدفت مواقع إلكترونية عديدة حول العالم.
تحمل هاتان الثغرتان، اللتان تؤثران في إضافة iCagenda المخصصة لإدارة الفعاليات وإضافة Balbooa Forms الخاصة ببناء النماذج، الدرجة القصوى البالغة 10.0 على مقياس CVSS. ويعكس هذا التصنيف مدى سهولة استغلالهما وتأثيرهما البالغ، إذ تتيحان للمهاجمين رفع ملفات عشوائية وتنفيذ برمجيات عن بُعد.
ووفقاً للمنصة الاستشارية الموحدة CSIRTS، تصنف الثغرتان تحت فئة “تحميل ملفات غير مقيد ذات طبيعة خطرة”. وبناء على ذلك، أصدرت وكالة CISA توجيهها الملزم رقم BOD 26-04، الذي يقضي بإلزام كافة الوكالات الفيدرالية المدنية في الولايات المتحدة بمعالجة هاتين الثغرتين وتصحيحهما في موعد أقصاه 13 يوليو 2026.
تشير البيانات الصادرة عن منصة mySites.guru، المتخصصة في مراقبة وإدارة مواقع الويب، إلى أن استغلال ثغرة iCagenda ذات المعرف (CVE-2026-48939) تم عبر استخدام ماسح آلي يتخفى تحت معرف العميل “icagenda-batch/1.0” بهدف استخلاص رمز الحماية، ومن ثم رفع ملف برمجي خبيث إلى مجلد المرفقات العام الواقع في المسار “images/icagenda/frontend/attachments/”. وينصح الخبراء مسؤولي المواقع بفحص هذا المسار بدقة لإزالة أي ملفات PHP مشبوهة فوراً. علماً بأن المطور JoomliC قد طرح التحديثات الأمنية المعالجة للمشكلة في الإصدارين 4.0.8 و3.9.15.
في المقابل، تكمن الثغرة الأمنية في Balbooa Forms ذات المعرف (CVE-2026-56291) ضمن آلية رفع المرفقات عبر الواجهة الأمامية للموقع، وتحديداً في الإصدارات الممتدة حتى النسخة 2.4.0. حيث كانت المنظومة تسمح لأي زائر مجهول برفع ملفات دون الحاجة للمصادقة أو التحقق من رمز CSRF أو حتى التدقيق في نوع الملف المرفوع.
وأوضحت mySites.guru أنها رصدت هذه الثغرة أثناء التصدي لهجوم حي استهدف أحد عملائها في 8 يوليو، حيث نجح المهاجم في رفع ملف PHP وتشغيله عن بُعد. وتتضمن مؤشرات الاختراق المرتبطة بهذه الثغرة وجود ملفات غير صورية (لا سيما بامتداد PHP) داخل المجلد “images/baforms/uploads”، إلى جانب ظهور حسابات إدارية جديدة غير مصرح بها، ورصد تعديلات حديثة على ملفات PHP المخزنة على الخادم.
ويندرج تحرك وكالة CISA ضمن سياق أوسع لحملة استغلال دولية رصدها مركز الأمن السيبراني الأسترالي (ACSC)، تستهدف ثغرات أمنية متعددة في أنظمة إدارة المحتوى وإضافاتها البرمجية. حيث أفاد المركز بأن مجموعات التهديد الإلكتروني تجري عمليات مسح واسعة للشبكة لتحديد المواقع المصابة بغرض زرع web shells، وهي برمجيات تمكن المهاجمين من فرض تحكم كامل عن بُعد في الخوادم المخترقة.
وشملت التحذيرات الأمنية مجموعة من الثغرات، من بينها:
- Sneeit Framework (CVE-2025-6389)
- WPBookit (CVE-2025-7852)
- Gravity Forms (CVE-2025-12352)
- Craft CMS (CVE-2025-32432)
- MetInfo CMS (CVE-2026-29014)
- بالإضافة إلى ثغرات أخرى طالت إضافات تابعة لمنصتي ووردبريس وJoomla.
وتتنوع مخاطر هذه الثغرات بين السماح بتحميل ملفات دون مصادقة، أو تنفيذ أوامر عن بُعد، أو تزوير الطلبات من جانب الخادم (SSRF)، أو تنفيذ عمليات إزالة التسلسل الخطرة.
وتكتسب هذه التطورات خطورة متزايدة بناء على تأكيدات المركز الأسترالي، إذ تسهم تقنيات الذكاء الاصطناعي المتقدمة في تسريع وتيرة الهجمات الإلكترونية بشكل ملحوظ، ما يقلص الفجوة الزمنية المفصولة بين الكشف عن الثغرة وبدء استغلالها فعلياً، ويضع فرق الدفاع السيبراني تحت ضغط زمني كبير لتطبيق الرقع الأمنية.
وبناءً على المعطيات السابقة، يُنصح مسؤولو المواقع التي تعتمد على نظام Joomla بالمبادرة إلى ترقية إضافاتهم فوراً إلى الإصدارات الآمنة، مع إجراء فحص شامل للملفات والمجلدات للكشف عن أي أنشطة مريبة، ومراجعة صلاحيات الحسابات الإدارية للتحقق من عدم حدوث اختراقات سابقة غير مكتشفة.






