ثغرة Everest Forms لـ WordPress تمنح المخترقين سيطرة كاملة

مقدمة تحليلية

في تطور أمني خطير يسلط الضوء على هشاشة البنية التحتية للمواقع الرقمية، أطلق خبراء الأمن السيبراني تحذيرات عاجلة بشأن موجة استغلال نشطة تستهدف ثغرة برمجية حرجة في إضافة Everest Forms Pro المخصصة لمنصة إدارة المحتوى الشهيرة WordPress. الثغرة التي تحمل المعرّف CVE-2026-3300 تمثل تهديداً مباشراً لآلاف المواقع النشطة التي تعتمد على هذه الإضافة لبناء النماذج المتقدمة، حيث تسمح للمهاجمين غير المصرح لهم بتنفيذ التعليمات البرمجية عن بُعد RCE والسيطرة الكاملة على خوادم الويب المتأثرة. بالتزامن مع هذا الخطر المتصاعد، تم الكشف عن أساليب هجومية مبتكرة تفوق الأساليب التقليدية تعقيداً؛ إذ كشفت تقارير أمنية موثقة عن حملات مستمرة تستخدم شبكة معالجة المدفوعات الشهيرة Stripe كبنية تحتية للتحكم والسيطرة C2، بالإضافة إلى استغلالها كقناة لتسريب البيانات المالية المسروقة من متاجر التجارة الإلكترونية. هذا الدمج بين استغلال ثغرات منصات إدارة المحتوى واختراق سلاسل التوريد الرقمية باستخدام قنوات الاتصال الموثوقة يضع المؤسسات في مواجهة معايير أمنية جديدة كلياً تتطلب إعادة تقييم شاملة لكيفية فحص وإدارة الثقة في الخدمات السحابية الخارجية.

التحليل التقني

تكمن خطورة الثغرة CVE-2026-3300، الحاصلة على تقييم خطورة قصوى بنسبة 9.8 وفقاً لمقياس CVSS العالمي، في آلية معالجة المدخلات والعمليات الحسابية داخل إضافة Everest Forms Pro في جميع الإصدارات التي تسبق الإصدار الآمن 1.9.13. ومن الناحية الهيكلية، تعود هذه الثغرة إلى خلل فني في دالة process_filter() التابعة لملحق الحسابات Calculation Addon. تقوم هذه الدالة بدمج القيم المدخلة من قبل المستخدمين في حقول النماذج مباشرةً في سلسلة كود PHP دون إجراء عمليات تنقية أو هروب سليم للمحارف، قبل تمرير الكود بالكامل إلى دالة التقييم الديناميكي الخطيرة eval(). وتتميز هذه الثغرة بالخصائص التقنية والتشغيلية التالية:

• قصور آلية التنقية: بالرغم من استخدام الإضافة لدالة sanitize_text_field() لتنقية المدخلات، إلا أن هذه الدالة لا تمنع هروب علامات الاقتباس المفردة أو الرموز البرمجية الخاصة بلغة PHP، مما يتيح للمهاجمين حقن أكوادهم البرمجية بسهولة داخل الخادم المضيف.
• شروط الاستغلال: تنجح الهجمات عندما يتم تمكين ميزة الحسابات المعقدة Complex Calculation في النموذج، ويصبح بإمكان أي مهاجم غير موثق استغلال أي حقل نصي لتمرير شيفرة خبيثة وتنفيذها مباشرة.
• الآثار المترتبة على الاستغلال: تتيح الثغرة للمهاجمين إنشاء حسابات مديرين مارقين، وزرع برمجيات الويب الخبيثة Web Shells، والوصول إلى ملفات النظام الحساسة وتخريب البيانات.
• مؤشرات الاختراق النشطة: تم رصد محاولات مكثفة لإنشاء حسابات إدارة تحمل الاسم diksimarina والبريد الإلكتروني المرتبط بها [email protected].
• عناوين IP المرتبطة بالهجوم: تشمل العناوين المرصودة كلاً من 202.56.2.126 و209.146.60.26 و15.235.166.18 و185.78.165.153، بالإضافة إلى عنوان IPv6: 2402:1f00:8000:800::40db.

على صعيد متصل، تم رصد حملات كشط البيانات الخبيثة Web Skimmers التي تستهدف منصات Adobe Commerce وMagento بطريقة معقدة للغاية. تعتمد هذه الحملات على استغلال الثقة الممنوحة لنطاقات Google Tag Manager ونطاق Stripe الرسمي api.stripe.com لتجاوز قواعد سياسة أمان المحتوى CSP. يقوم المهاجمون بحقن كود جافا سكريبت خبيث عبر حاويات GTM الموثوقة، ومن ثم يستخرج هذا الكود حمولة الكشط المشفرة المخزنة في البيانات الوصفية لحسابات عملاء Stripe المزيفة (مثل الحساب cus_TfFjAAZQNOYENR). بعد ذلك، يتم جمع معلومات بطاقات الائتمان وعناوين الفواتير وحفظها مؤقتاً في localStorage الخاصة بالمتصفح قبل تصديرها مباشرةً إلى خوادم Stripe كبيانات تابعة لحسابات العملاء، مستغلين بذلك قنوات بروتوكول HTTPS الموثوقة لتجنب إثارة الشبهات في جدران حماية تطبيقات الويب. بجانب ذلك، كشفت التحقيقات عن شبكة احتيال ضخمة تحمل اسم GorgonAgora تدير أكثر من 5,714 متجراً إلكترونياً مزيفاً ينتهي بنطاقات .shop، وتستهدف علامات تجارية عالمية. تستخدم هذه الشبكة حزمة برمجيات Medusa.js مفتوحة المصدر لبناء المتاجر، وتدمج واجهة إدخال بطاقات دفع وهمية Stripe iframe، وتقوم بنقل البيانات المسروقة باستخدام اتصال WebSocket مشفر بواسطة بروتوكول AES-256-GCM إلى خادم خبيث في مولدوفا، مع تمرير تحديات التحقق الثلاثي الآمن 3DS في الوقت الفعلي للضحية لتبدو المعاملة شرعية تماماً.

السياق وتأثير السوق

يعكس استهداف Everest Forms Pro وابتكار طرق استغلال خوادم Stripe تحولاً جوهرياً في استراتيجيات الاختراق للمجموعات التخريبية على الساحة الدولية. لم يعد المهاجمون يركزون فقط على البحث عن ثغرات تقليدية في البنية التحتية للشبكات، بل باتوا يركزون على نقاط الضعف البرمجية في التطبيقات والخدمات السحابية الطرفية المشتركة. يمثل مجتمع WordPress بيئة خصبة للمخترقين نتيجة لاعتماده الهائل على الإضافات الخارجية التي يطورها أطراف ثالثة، والتي تفتقر في كثير من الأحيان إلى مراجعة وتدقيق أمني مكثف قبل النشر الفعلي. من ناحية أخرى، فإن استخدام شبكة معالجة المدفوعات الموثوقة Stripe كقناة قيادة وسيطرة للبرمجيات الخبيثة يثبت بطلان نماذج الأمان التقليدية القائمة على فحص النطاقات وعناوين الويب فقط. نظراً لأن نطاق api.stripe.com يعتبر موثوقاً بشكل دائم وتلقائي في المتاجر الرقمية لضمان عمل بوابات الدفع، فإن استغلال هذا النطاق يعطل فاعلية حوكمة CSP التقليدية، مما يضع أنظمة كشف التسلل ومراقبة الأنشطة أمام تحدي التحقق من السلوك الفعلي داخل القنوات المعتمدة بدلاً من مجرد فحص وجهة البيانات النهائية.

رؤية Glitch4Techs

في Glitch4Techs، نرى أن استمرار استخدام دالة eval() البرمجية مع دمج مدخلات المستخدمين دون تشفير صارم يمثل فجوة أمنية جسيمة لا يجب التغاضي عنها في ممارسات التطوير البرمجي الحديثة. لم تعد نماذج الحماية المعتمدة على تنقية النصوص البسيطة كافية لمنع الـ RCE. يجب على المطورين تبني منهجيات التطوير الآمن SSDLC التي تمنع استخدام التقييم الديناميكي للأكواد بشكل قاطع في البيئات الإنتاجية، واعتماد فحص الأكواد الثابتة SAST والمتحركة DAST كجزء قياسي من خطوط الإنتاج البرمجي. علاوة على ذلك، نطلق تحذيراً بشأن الاعتماد الأعمى على سياسات CSP القائمة على القوائم البيضاء للنطاقات. إن اختراق البنى التحتية الموثوقة وتوظيف Stripe كقنوات لنقل البيانات المسروقة يثبت أن الثقة المسبقة هي الثغرة الأكبر في جدار الحماية الرقمي. يتعين على مسؤولي المواقع الانتقال فوراً إلى استراتيجية انعدام الثقة المطلق Zero Trust، ومراقبة التعديلات الطارئة على كود المتصفح وسلوك واجهات البرمجة APIs ديناميكياً لتتبع ومنع محاولات التسلل والتصدير غير المصرح للبيانات الحساسة، مع التحديث الفوري لإضافة Everest Forms إلى الإصدار الآمن 1.9.13 لغلق الباب أمام موجة الاستغلال الحالية.