تخطى إلى المحتوى الرئيسي

استغلال صفري يضرب إضافات Joomla: CISA تحذر من فشل أمني حاد

فريق جلتش
منذ ساعتين0 مشاهدة4 دقائق
استغلال صفري يضرب إضافات Joomla: CISA تحذر من فشل أمني حاد

أضافت CISA ثغرتين خطيرتين، CVE-2026-48939 وCVE-2026-56291، في إضافات iCagenda وBalbooa Forms لتطبيق Joomla إلى قائمة الثغرات المستغلة (KEV)، مع تحذيرات أسترالية من حملة عالمية تستهدف أنظمة CMS.

مقدمة تحليلية

أدرجت وكالة الأمن السيبراني وأمن البنية التحتية الأمريكية (CISA) ثغرتين أمنيتين ذواتي خطورة قصوى ضمن قائمة الثغرات المستغلة المعروفة (KEV) لديها. تستهدف هذه الثغرات، المصنفتين بـ CVSS 10.0، إضافتي iCagenda وBalbooa Forms لنظام إدارة المحتوى Joomla. يأتي هذا الإجراء بعد تقارير مؤكدة عن استغلالهما كـ Zero-Days في هجمات فعلية. كانت الثغرة CVE-2026-48939 في iCagenda قيد الاستغلال النشط منذ 15 يونيو 2026، بينما اكتُشفت الثغرة CVE-2026-56291 في Balbooa Forms في 8 يوليو 2026، فور استغلالها المباشر لأحد العملاء. وقد حددت CISA تاريخ 13 يوليو 2026، موعدًا نهائيًا للوكالات الفيدرالية المدنية التنفيذية (FCEB) لتطبيق الإصلاحات اللازمة في شبكاتها، مما يؤكد الطبيعة الحرجة لهذه التهديدات التي تسمح بتنفيذ تعليمات برمجية عن بعد (RCE) عبر رفع ملفات عشوائية.

التحليل التقني

تتعلق الثغرتان المعلنتان بآليات رفع الملفات ضمن الإضافات المستهدفة، مما يمهد الطريق لتنفيذ تعليمات برمجية عن بعد. تتضمن التفاصيل التقنية للثغرات ما يلي:
  • CVE-2026-48939: ثغرة في إضافة iCagenda لـ Joomla (مكون إدارة الأحداث والتقاويم). تسمح هذه الثغرة برفع ملفات عشوائية عبر ميزة إرفاق الملفات في وظيفة "Submit an Event"، مما يؤدي إلى رفع ملفات PHP خبيثة وتنفيذها.
  • الإصدارات المتأثرة:
    • إصدارات 4.x حتى 4.0.7 شاملة.
    • إصدارات 3.x القديمة من 3.2.1 حتى 3.9.14 شاملة.
  • وفقًا لـ mySites.guru، لوحظ استغلال الثغرة كـ Zero-Day منذ 15 يونيو 2026، من خلال هجمات آلية استهدفت مواقع Joomla التي تستخدم iCagenda. تضمنت الهجمات مسحًا آليًا بواسطة معرف "icagenda-batch/1.0" للحصول على رمز مميز، ثم نشر ملف خبيث إلى نقطة نهاية الإرسال، ومن ثم استرجاع الـ shell المزروع في المسار المحدد الذي تكتب فيه المكونات المرفقات.
  • الإصلاحات: أصدرت JoomliC تحديثات لمعالجة المشكلة في iCagenda بالإصدارين 4.0.8 و3.9.15.
  • مؤشرات الاختراق (IOCs): ينصح بالبحث عن ملفات PHP مشبوهة في مجلد "images/icagenda/frontend/attachments/" وإزالتها.
  • CVE-2026-56291: ثغرة في إضافة Balbooa Forms لـ Joomla (مكون إنشاء النماذج). تسمح هذه الثغرة برفع ملفات عشوائية، مما يؤدي إلى تنفيذ تعليمات برمجية عن بعد غير مصادق عليها.
  • الإصدارات المتأثرة:
    • جميع الإصدارات حتى 2.4.0 شاملة.
  • اكتشفت mySites.guru هذه الثغرة في 8 يوليو 2026، عقب هجوم مباشر على أحد عملائها. أفادت الشركة أن وظيفة رفع المرفقات في الواجهة الأمامية (frontend) بالإضافة كانت تسمح بقبول ملفات من أي زائر مجهول، دون الحاجة لتسجيل دخول، أو رمز CSRF، أو أي تحقق من نوع الملف. سمح هذا للمهاجمين برفع ملف PHP إلى مجلد عام ثم تشغيله، وهو ما يمثل RCE غير مصادق عليه.
  • الإصلاحات: تم تصحيح الثغرة في الإصدار 2.4.1.
  • مؤشرات الاختراق (IOCs):
    • البحث في مجلد رفع ملفات Balbooa Forms (افتراضيًا "images/baforms/uploads") عن أي ملف غير صورة أو مستند، خاصة تلك التي تنتهي بـ PHP.
    • فحص قائمة مستخدمي Joomla بحثًا عن حسابات مسؤول مشبوهة.
    • تدقيق الموقع بحثًا عن ملفات PHP معدلة حديثًا أو غير مألوفة.

السياق وتأثير السوق

تتزامن هذه الإفصاحات مع تحذير صادر عن المركز الأسترالي للأمن السيبراني (ACSC) بشأن حملة استغلال عالمية واسعة النطاق تستهدف مختلف الثغرات في أنظمة إدارة المحتوى (CMS) والإضافات الخاصة بها. تشير ACSC إلى أن الفاعلين السيبرانيين الخبيثين يمسحون المواقع بنشاط بحثًا عن فرص لنشر web shells، مستغلين نقاط ضعف متعددة تسمح برفع الملفات غير المصادق عليها، وتنفيذ التعليمات البرمجية عن بُعد، وتزوير طلبات جانب الخادم (SSRF)، أو إلغاء التسلسل (deserialization). وبمجرد نشرها، تعمل هذه الـ web shells كقنوات للوصول والتحكم عن بعد في خوادم الويب المستهدفة. هذا يؤكد أن المشكلة لا تقتصر على Joomla وحده، بل تمثل هشاشة نظامية في بيئة أنظمة إدارة المحتوى ككل. تضمنت الثغرات الأخرى التي استهدفت في هذه الحملة:
  • Sneeit Framework (CVE-2025-6389)
  • WPBookit (WordPress) (CVE-2025-7852)
  • Gravity Forms (WordPress) (CVE-2025-12352)
  • Craft CMS (CVE-2025-32432)
  • Ninja Forms (WordPress) (CVE-2026-0740)
  • MaxSite CMS (CVE-2026-3395)
  • Breeze Cache (WordPress) (CVE-2026-3844)
  • WavePlayer (WordPress) (CVE-2025-12057)
  • MetInfo CMS (CVE-2026-29014)
  • Joomla JCE (CVE-2026-48907)
شدد المركز الأسترالي للأمن السيبراني على أن "حملة الاستغلال العالمية الواسعة النطاق هذه توضح المخاطر السيبرانية المتطورة بسرعة التي تواجه المنظمات"، مشيرًا إلى أن "تطورات الذكاء الاصطناعي تسرّع من سرعة ونطاق العمليات السيبرانية، وتقلل من الوقت بين الإفصاح عن الثغرة واستغلالها". هذا يضع ضغطًا هائلاً على مطوري الإضافات ومسؤولي الأنظمة لتطبيق التصحيحات فورًا، مع اعتبار موعد CISA النهائي لوكالات FCEB في 13 يوليو 2026، معيارًا لمستوى الاستجابة المطلوبة.

رؤية Glitch4Techs

إن الطبيعة المتكررة لثغرات رفع الملفات الحرجة في إضافات CMS واسعة الاستخدام تشير إلى إهمال منهجي في عمليات التطوير والتدقيق. على الرغم من عقود من ظهور هذه العيوب، يفشل المطورون باستمرار في تطبيق التحقق الأساسي من المدخلات وضوابط المصادقة، مما يعرض ملايين المواقع للاختراق السهل. هذا ليس هجومًا معقدًا، بل فشلاً جوهريًا في الممارسات الأمنية الأساسية. إن الاستغلال الآلي والسريع لهذه العيوب، كما وثقت mySites.guru مع "icagenda-batch/1.0"، يسلط الضوء على أن التصحيح بعد الإفصاح غالبًا ما يكون متأخرًا جدًا للمؤسسات التي تفتقر إلى مراقبة قوية في الوقت الفعلي. اعتماد الصناعة على التخفيف بعد الاختراق بدلاً من التطوير الآمن الاستباقي غير مستدام.

أعجبك المقال؟ شاركه

النشرة البريدية

كن أول من يعرف بمستقبل التقنية

أهم الأخبار والتحليلات التقنية مباشرة في بريدك.

مقالات قد تهمك