ثغرة Gravity SMTP تكشف مفاتيح API لـ 100 ألف موقع ووردبريس

مقدمة تحليلية

شهد عالم الويب مؤخرًا تصعيدًا خطيرًا في الهجمات السيبرانية، حيث يستغل المخترقون بشكل نشط ثغرة أمنية حرجة في إضافة Gravity SMTP الشهيرة لـ WordPress. هذه الإضافة، المثبتة على ما يقرب من 100,000 موقع، تُعَدّ أداة أساسية لإدارة إرسال البريد الإلكتروني. الثغرة، التي تم تتبعها بالمعرف CVE-2026-4020، تُصنف على أنها نقطة ضعف متوسطة الخطورة تسمح بالكشف عن معلومات حساسة (information disclosure) دون الحاجة إلى مصادقة، مما يضع عددًا كبيرًا من المواقع في خطر مباشر. وقد رصدت شركة Wordfence، المتخصصة في أمن WordPress، أكثر من 17 مليون محاولة استغلال لهذه الثغرة حتى الآن، مما يؤكد على حجم التهديد والانتشار السريع لهذه الهجمات. يكشف هذا الاستغلال عن مفاتيح API ومعلومات تكوين حساسة يمكن أن يستغلها المهاجمون لتنفيذ هجمات لاحقة أكثر تعقيدًا.

إن انكشاف مفاتيح API (Application Programming Interface) ليس مجرد خرق بسيط، بل هو بمثابة تسليم مفاتيح البنية التحتية للموقع للمهاجمين. فباستخدام هذه المفاتيح، يمكن للمخترقين انتحال هوية الموقع لإرسال رسائل بريد إلكتروني ضارة، أو الوصول إلى خدمات خارجية مرتبطة بهذه المفاتيح مثل Amazon SES أو Google أو Mailjet، مما يوسع نطاق الهجوم المحتمل إلى ما هو أبعد من مجرد الموقع نفسه. هذا الوضع يتطلب استجابة فورية من مديري المواقع والمطورين على حد سواء لضمان حماية البيانات ومستخدمي الويب.

التحليل التقني

تكمن الثغرة CVE-2026-4020 (بدرجة CVSS: 5.3) في ضعف في إعدادات نقطة نهاية REST API ضمن إضافة Gravity SMTP. بالتحديد، تم تسجيل نقطة النهاية /wp-json/gravitysmtp/v1/tests/mock-data بوجود دالة permission_callback تعيد القيمة true دائمًا، مما يعني أن أي زائر غير مصادق عليه يمكنه الوصول إليها. عندما يتم إضافة معامل الاستعلام ?page=gravitysmtp-settings إلى هذه النقطة، تقوم الدالة register_connector_data() الخاصة بالإضافة بملء بيانات الاتصال الداخلية، مما يؤدي إلى إعادة حوالي 365 كيلوبايت من بيانات JSON تحتوي على 'System Report' كامل.

يحتوي هذا التقرير المفصل على مجموعة واسعة من المعلومات الحساسة التي لا ينبغي أن تكون متاحة للجمهور، بما في ذلك:

• إصدار PHP المستخدم على الخادم.
• الإضافات المحملة (Loaded extensions).
• إصدار خادم الويب (Web server version).
• مسار الجذر الخاص بالمستند (Document root path).
• نوع وإصدار خادم قاعدة البيانات (Database server type and version).
• إصدار WordPress نفسه.
• جميع الإضافات النشطة (plugins) مع إصداراتها.
• القالب النشط (Active theme).
• تفاصيل تكوين WordPress.
• أسماء جداول قاعدة البيانات (Database table names).
• مفاتيح/رموز API (API keys/tokens) المكوّنة في الإضافة، مثل تلك الخاصة بخدمات Amazon SES و Google و Mailjet و Resend و Zoho.

يمكن للمهاجمين استغلال هذه المعلومات لاكتشاف نقاط ضعف إضافية في حزمة البرمجيات الخاصة بالموقع، وتخطيط هجمات لاحقة أكثر استهدافًا. على سبيل المثال، يمكن استخدام مفاتيح API المكشوفة لإرسال رسائل بريد إلكتروني ضارة أو رسائل تصيد (phishing emails) من خلال خدمة البريد الإلكتروني الخاصة بالموقع، مما يؤدي إلى فقدان الثقة في نطاق الموقع وتداعيات سلبية على السمعة.

تم إصدار تصحيح للثغرة في الإصدار 2.1.5 من الإضافة. وقد بدأت محاولات الاستغلال في الظهور منذ بداية مايو 2026، وتصاعدت بشكل كبير حول 6 يونيو 2026، لتصل إلى ذروتها بأكثر من 4,000,000 طلب يوميًا في اليوم التالي. وقد وردت هذه الطلبات من عناوين IP متعددة، أبرزها 45.148.10.95 و 193.32.162.60 وغيرها.

السياق وتأثير السوق

تُعدّ هذه الثغرة الأمنية مثالاً ساطعًا على المخاطر الكامنة في الاعتماد على المكونات الخارجية (مثل إضافات WordPress) دون تدقيق أمني كافٍ. تُشكّل إضافات WordPress جزءًا لا يتجزأ من بيئة الويب الحديثة، حيث تتيح تخصيصًا وظيفيًا واسع النطاق، ولكنها في الوقت نفسه تمثل نقطة ضعف محتملة إذا لم يتم تطويرها وصيانتها بمعايير أمنية صارمة. إن استهداف إضافة مستخدمة على نطاق واسع مثل Gravity SMTP يبرز الحاجة الملحة لتحسين ممارسات الأمن في دورة حياة تطوير البرمجيات (SDLC) لمطوري الإضافات.

يُقارن هذا الحدث بحالات سابقة من الثغرات في إضافات WordPress الشهيرة التي أدت إلى خروقات واسعة النطاق. على سبيل المثال، ثغرات في إضافات SEO أو التجارة الإلكترونية التي تعرض بيانات العملاء أو معلومات الدفع. تأثير السوق هنا مزدوج: فمن ناحية، تواجه آلاف الشركات الصغيرة والمتوسطة التي تعتمد على WordPress مخاطر اختراق وشل لعملياتها، ومن ناحية أخرى، تزداد الحاجة لخدمات الأمن السيبراني المتخصصة في حماية منصات إدارة المحتوى (CMS) مثل WordPress، مما يعزز من دور شركات مثل Wordfence في تقديم الحماية والاستجابة للتهديدات. هذا النوع من الهجمات يعيد التأكيد على أن أمن الويب ليس رفاهية، بل ضرورة قصوى للشركات من جميع الأحجام.

رؤية Glitch4Techs

من منظور Glitch4Techs، تُظهر ثغرة Gravity SMTP فشلاً أمنيًا أساسيًا في مرحلة التطوير، حيث سمح الـ permission_callback بإعادة القيمة true بشكل غير مشروط، مما فتح الباب أمام أي مهاجم غير مصادق عليه للوصول إلى معلومات حساسة للغاية. هذا يبرز مشكلة أعمق تتعلق بالوعي الأمني للمطورين وضرورة تطبيق مبادئ الأمن من البداية (security by design) في كل مرحلة من دورة حياة المنتج.

تتمثل المخاوف الأمنية الرئيسية في أن انكشاف مفاتيح API يمكن أن يؤدي إلى سلسلة من الهجمات اللاحقة. فبمجرد حصول المهاجم على مفتاح API لخدمة بريد إلكتروني، يمكنه استخدامه لإطلاق حملات تصيد احتيالي متطورة تبدو وكأنها صادرة من الموقع الشرعي، مما يقوض ثقة المستخدمين ويضر بسمعة العلامة التجارية. بالإضافة إلى ذلك، فإن انكشاف تفاصيل حزمة البرمجيات (software stack) يوفر للمهاجمين خريطة طريق لاكتشاف واستغلال ثغرات أخرى معروفة في إصدارات معينة من PHP أو خوادم الويب أو حتى WordPress نفسه.

نتوقع أن يستمر هذا النمط من الهجمات التي تستهدف الثغرات في الإضافات الشائعة، خاصة تلك التي تتعامل مع بيانات حساسة أو تتصل بخدمات خارجية. للحد من المخاطر، توصي Glitch4Techs بما يلي:

• التحديث الفوري: يجب على جميع مالكي مواقع WordPress التي تستخدم Gravity SMTP التحديث إلى الإصدار 2.1.5 أو أحدث فورًا.
• تدوير بيانات الاعتماد: بعد التحديث، يجب اعتبار جميع مفاتيح API ورموز OAuth المكشوفة قد تم اختراقها، ويجب تدويرها (regenerate) واستبدالها بأخرى جديدة فورًا لجميع الخدمات الخارجية المتصلة.
• مراجعة سجلات الخادم: ينبغي على مديري المواقع مراجعة سجلات خوادمهم بحثًا عن أي طلبات مشبوهة لنقطة النهاية /wp-json/gravitysmtp/v1/tests/mock-data، خاصة تلك التي مصدرها عناوين IP المعروفة بالاستغلال.
• تأمين واجهات API: على المطورين التأكد من أن جميع نقاط نهاية API محمية بشكل كافٍ باستخدام آليات مصادقة وتفويض قوية، وألا تعيد أبدًا معلومات حساسة لمستخدمين غير مصادق عليهم.

إن هذه الثغرة هي تذكير صارخ بأن اليقظة الأمنية المستمرة والتحديثات الدورية ليست مجرد ممارسات جيدة، بل هي حجر الزاوية في الحفاظ على أمن الويب في مواجهة التهديدات المتطورة.