ثغرة Gravity SMTP: معلومات حساسة لـ 100 ألف موقع ووردبريس مكشوفة

مقدمة تحليلية

تُعد الثغرات الأمنية في إضافات ووردبريس نقطة ضعف حرجة يستغلها المهاجمون بشكل متزايد لاختراق المواقع والوصول إلى بيانات حساسة. مؤخراً، اكتُشفت ثغرة خطيرة في إضافة Gravity SMTP، والتي تُستخدم من قِبل أكثر من 100,000 موقع ووردبريس. هذه الثغرة، المُسماة CVE-2026-4020، سمحت للمهاجمين بالحصول على تقارير نظام شاملة تحتوي على معلومات حساسة للغاية دون الحاجة إلى مصادقة، مما يعرض أعداداً هائلة من المواقع لخطر الاختراق وسرقة البيانات. بدأ استغلال هذه الثغرة بشكل مكثف اعتباراً من 7 يونيو 2026، حيث رصدت شركة الأمن Wordfence ملايين المحاولات ضد عملائها المحميين. تُصنف الثغرة على أنها ذات خطورة متوسطة، لكن تأثيرها العملي قد يكون مدمراً نظراً لطبيعة البيانات المكشوفة وسهولة استغلالها. يمكن للمهاجمين، بمجرد الحصول على هذه المعلومات، تنفيذ هجمات أكثر تعقيداً واستهدافاً، بما في ذلك انتحال الهوية والوصول إلى خدمات البريد الإلكتروني المتصلة بالمواقع.

التحليل التقني

تنبع ثغرة CVE-2026-4020 من نقطة نهاية REST API مكشوفة ضمن إضافة Gravity SMTP، حيث كانت وظيفة `permission_callback` تعيد القيمة `true` دائماً. سمح هذا السلوك لأي طلب GET غير مصادق عليه باستقبال تقرير JSON مفصل يُعرف بـ “System Report” تُنشئه الإضافة. هذا التقرير الشامل قد يحتوي على بيانات بالغة الحساسية، تشمل:

• مفاتيح API، وأسرار، ورموز OAuth الخاصة بعمليات دمج البريد الإلكتروني المُكوّنة.
• بيانات الاعتماد لخدمات البريد الإلكتروني الخارجية، مثل Amazon SES، وGoogle، وMailjet، وResend، وZoho.
• تفاصيل تكوين ووردبريس، بما في ذلك الإضافات المُثبتة، والقوالب، وإصدارات البرامج.
• معلومات حول بيئة الخادم وPHP.
• تفاصيل تكوين قاعدة البيانات، بما في ذلك إصدار الخادم وأسماء الجداول.

الإصدارات المتأثرة بهذه الثغرة هي جميع إصدارات الإضافة حتى 2.1.4 وما قبلها. وقد تم معالجة الثغرة في الإصدار 2.1.5، الذي صدر في 17 مارس 2026. على الرغم من تصنيفها كـ 'متوسطة الخطورة'، فإن القدرة على استغلالها دون مصادقة تكشف عن خطر بالغ، حيث يمكن استخدام المعلومات المُسربة لسرقة بيانات اعتماد خدمة البريد الإلكتروني، مما يتيح للمهاجمين انتحال شخصية الضحية أمام أطراف ثالثة واكتساب معلومات تفصيلية عن مكدس برامج الموقع والثغرات المحتملة فيه. تحذر Wordfence من أن الكشف عن بيانات اعتماد API الحية لأطراف ثالثة يعني أن المهاجم يمكنه إساءة استخدام خدمات البريد الإلكتروني المتصلة بالموقع، بينما يقلل تقرير النظام التفصيلي بشكل كبير من الجهد المطلوب لتخطيط هجمات مستقبلية ضد الموقع.

السياق وتأثير السوق

إن استغلال ثغرة CVE-2026-4020 في إضافة Gravity SMTP ليس حادثاً فردياً، بل يندرج ضمن سياق أوسع من الهجمات المستمرة على إضافات ووردبريس. تؤكد Wordfence، إحدى أبرز شركات أمن ووردبريس، على النشاط الاستغلالي المكثف، حيث قامت جدارها الناري بحظر أكثر من 17 مليون محاولة ضد العملاء المحميين. شهد يوم 7 يونيو 2026 ذروة في نشاط الاستغلال، مع حظر 4 ملايين طلب في ذلك اليوم وحده، واستمر النشاط المماثل لأيام عدة بعد ذلك. يُظهر هذا النمط ضعف المنظومة الأمنية لإضافات ووردبريس بشكل عام، وحاجة المطورين والمستخدمين على حد سواء لتوخي أقصى درجات الحذر. ليست هذه هي الثغرة الوحيدة التي تم استغلالها مؤخراً؛ فقد أصدرت Wordfence أيضاً تحذيراً منفصلاً بخصوص ثغرة حرجة (CVE-2026-8713) في إضافة Avada Builder، التي تُستخدم في مليون موقع. تسمح هذه الثغرة للمهاجمين بحذف ملفات عشوائية على الخادم، مما قد يؤدي إلى استيلاء كامل على الموقع أو تنفيذ تعليمات برمجية عن بعد، على الرغم من عدم ملاحظة استغلال نشط لها بعد. تتوافق هذه الحوادث مع سلسلة من الثغرات الأخرى التي تم استغلالها في إضافات ووردبريس مثل Everest Forms Pro وWP Maps Pro وBurst Statistics وKirki، مما يؤكد أن منصة ووردبريس، على الرغم من شعبيتها، تبقى هدفاً رئيسياً للمهاجمين بسبب اتساع قاعدة مستخدميها وتنوع إضافاتها.

رؤية Glitch4Techs

من منظور Glitch4Techs، فإن تصنيف ثغرة CVE-2026-4020 على أنها 'متوسطة الخطورة' يقلل من حجم الخطر الحقيقي الذي تمثله. إن القدرة على الوصول غير المصادق عليه إلى بيانات حساسة للغاية، بما في ذلك مفاتيح API وبيانات الاعتماد لخدمات البريد الإلكتروني، يفتح الباب أمام سيناريوهات هجومية متعددة الأوجه قد تتجاوز مجرد سرقة البيانات. يمكن للمهاجمين استخدام هذه المعلومات لتنفيذ حملات تصيد احتيالي مُتقنة، أو إرسال بريد عشوائي ضار، أو حتى اختراق أنظمة بريد إلكتروني أوسع متصلة بالموقع. كما أن الكشف عن تفاصيل تكوين ووردبريس والخادم وبيئة PHP يمثل 'خريطة طريق' قيّمة للمهاجمين لتحديد ثغرات أخرى محتملة واستغلالها بشكل أكثر كفاءة. هذا يقلل بشكل كبير من الجهد المطلوب للتخطيط لهجمات لاحقة، مما يجعل الثغرة في الواقع عالية التأثير. نحث مطوري الإضافات على إجراء مراجعات أمنية شاملة لنقاط نهاية REST API وجميع وظائف رد الاتصال المرتبطة بها لضمان فرض المصادقة والتحقق من الصلاحيات بشكل صحيح. بالنسبة لمسؤولي المواقع، فإن التحديث الفوري لإضافة Gravity SMTP إلى الإصدار 2.1.5 أو أحدث هو أمر حتمي. علاوة على ذلك، يجب مراجعة سجلات الخادم بحثاً عن مؤشرات اختراق مثل الطلبات إلى `/wp-json/gravitysmtp/v1/tests/mock-data`، والتفكير في تغيير جميع مفاتيح API وبيانات الاعتماد المُكشوفة. يبقى اليقظة والنهج الاستباقي للدفاع هما خط الدفاع الأول في عالم التهديدات السيبرانية المتزايدة السرعة والتعقيد.