ثغرة خطيرة في مكون إضافي لـ ووردبريس تسمح للمهاجمين بسرقة مفاتيح API
بقلم Mag-Info Tech editorial · 2026-06-21
كيف تعمل ثغرة جافتي إس إم تي بي وكيف يستغلها المهاجمون؟
منذ بداية مايو 2026، لاحظ خبراء الأمنInfoSec انتشاراً واسعاً لاستغلال ثغرة أمنية في المكون الإضافي جافتي إس إم تي بي (Gravity SMTP) لنظام إدارة المحتوى ووردبريس. هذه الثغرة، المرقمة CVE-2026-4020، تصنف على أنها ضعف في كشف البيانات بمستوى خطورة متوسط (CVSS 5.3). وتكمن المشكلة في وجود نقطة نهاية (endpoint) في واجهة برمجة التطبيقات (REST API) مسجلة تحت المسار /wp-json/gravitysmtp/v1/tests/mock-data. المشكلة الأساسية أن هذه النقطة لا تطلب أي صلاحيات، حيث أن وظيفة التحقق من الأذونات (permission_callback) تعود دائماً بقيمة "صحيح" بدون أي شروط. هذا يعني أن أي زائر غير مسجل يستطيع إرسال طلب GET غير مصرح به للحصول على بيانات حساسة.
عندما يضيف المهاجم معلمة الاستعلام ?page=gravitysmtp-settings إلى المسار، يستجيب المكون الإضافي بطريقة غير آمنة. فبدلاً من رفض الطلب، يستدعى الطريقة الداخلية register_connector_data() التي تقوم بجمع البيانات الداخلية للمكون، بما في ذلك تقرير النظام الكامل. هذا التقرير يحتوي على حوالي 365 كيلوبايت من البيانات بتنسيق JSON، بما في ذلك مفاتيح API، وسر-sensitive، ورموز OAuth، ومعلومات تكوين مكون البريد الإلكتروني. هذه البيانات كافية لتمكين المهاجم من تنفيذ هجمات لاحقة أو حتى اختراق كامل للموقع.
من هم الضحايا المحتملون ولماذا يجب عليهم التصرف فوراً؟
يؤثر هذا الثغرة على جميع المواقع التي تستخدم نسخة غير محدثة من المكون الإضافي جافتي إس إم تي بي. ووفقاً للبيانات، تم تثبيت هذا المكون على ما يقرب من 100 ألف موقع حول العالم. أصحاب هذه المواقع معرضون لخطر حقيقي، خاصة إذا كانوا قد قاموا بتهيئة مكون البريد الإلكتروني لدمج خدمات بريدية خارجية مثل SendGrid أو Mailgun. في هذه الحالة، يمكن للمهاجمين استخدام المفاتيح المسروقة لإرسال رسائل بريد إلكتروني نيابة عن الموقع، مما قد يؤدي إلى إرسال رسائل خادعة (spam) أو رسائل تصيد (phishing) تبدو وكأنها صادرة عن الموقع الشرعي.
بالإضافة إلى ذلك، يحتوي تقرير النظام على تفاصيل دقيقة عن بيئة الموقع، بما في ذلك إصدارات المكونات الإضافية الأخرى، ونسخ نظام التشغيل، وإعدادات الخادم. هذه المعلومات تعتبر كنزاً للمهاجمين، لأنها تخفض بشكل كبير الجهد اللازم لشن هجمات لاحقة مثل حقن أكواد (code injection) أو استغلال ثغرات معروفة في مكونات أخرى. لذا، فإن أي موقع يستخدم نسخة قديمة من جافتي إس إم تي بي يجب أن يعتبر نفسه معرضاً للاختراق حتى لو لم تظهر عليه أعراض واضحة بعد.
كيف ينتشر الاستغلال وهل هناك مؤشرات تدل على الهجوم؟
بدأت محاولات الاستغلال الأولية في أوائل مايو 2026، لكنها شهدت زيادة حادة في أوائل يونيو 2026، حيث بلغ عدد الطلبات الخبيثة أكثر من 4 ملايين طلب في يوم واحد. وقد تم تسجيل هذه الهجمات من مجموعة متنوعة من عناوين IP، مما يشير إلى استخدام شبكات بوتنت (botnets) أو أدوات آلية أخرى. هذا الانتشار الواسع يوضح أن الثغرة أصبحت معروفة على نطاق واسع بين المهاجمين، وأنهم يستغلونها بشكل منهجي.
من الناحية الفنية، يقوم المهاجمون بإرسال طلب GET بسيط إلى المسار المعرض للخطر، مع إضافة معلمة الاستعلام التي تسمح باسترجاع تقرير النظام. لا يتطلب هذا أي أدوات متقدمة، بل يمكن تنفيذه باستخدام أدوات مثل cURL أو حتى متصفح ويب عادي. هذا يجعل من السهل على أي شخص، حتى ذوو المعرفة التقنية المتواضعة، استغلال هذه الثغرة. لذلك، فإن المواقع التي لم تقم بتحديث المكون الإضافي إلى النسخة 2.1.5 أو الأحدث معرضة لخطر الاستغلال المستمر.
ما هي البيانات التي يمكن أن يحصل عليها المهاجمون بالضبط؟
عند استغلال هذه الثغرة، يمكن للمهاجمين الحصول على مجموعة واسعة من البيانات الحساسة. أولاً، يتم الكشف عن مفاتيح API الخاصة بخدمات البريد الإلكتروني التي تم تكوينها في المكون الإضافي. هذه المفاتيح تمكن المهاجمين من إرسال رسائل بريد إلكتروني نيابة عن الموقع، مما قد يؤدي إلى إساءة استخدام سمعة الموقع في إرسال رسائل غير مرغوب فيها أو رسائل تصيد. ثانياً، يتم الكشف عن رموز OAuth، والتي يمكن استخدامها للوصول إلى حسابات أخرى متصلة بالموقع مثل حسابات التخزين السحابي أو حسابات وسائل التواصل الاجتماعي.
بالإضافة إلى ذلك، يتم الكشف عن معلومات تكوين النظام الكامل، بما في ذلك إصدارات المكونات الإضافية، وبيئة الخادم، وإعدادات قاعدة البيانات. هذه المعلومات يمكن استخدامها لتحديد ثغرات أخرى في الموقع أو في المكونات الإضافية المثبتة. وأخيراً، قد يتم الكشف عن معلومات حول حسابات إدارة الموقع، مثل أسماء المستخدمين أو عناوين البريد الإلكتروني، والتي يمكن استخدامها في هجمات تصيد أو محاولات اختراق أخرى. لذا، فإن تأثير هذه الثغرة يتجاوز مجرد سرقة البيانات، بل يمتد إلى تمكين هجمات أوسع نطاقاً ضد الموقع وأصوله المرتبطة.
كيف تم إصلاح الثغرة وما هي الإصدارات الآمنة؟
تم إصدار تصحيح للثغرة في نسخة 2.1.5 من المكون الإضافي جافتي إس إم تي بي. هذا الإصدار أغلق نقطة النهاية الضعيفة ومنعها من الكشف عن البيانات الحساسة بدون صلاحيات. توصي الشركة المطورة جميع مستخدمي المكون الإضافي بتحديثه إلى أحدث نسخة فوراً. كما تنصح بإجراء مراجعة شاملة لجميع المفاتيح السرية والرموز التي قد تكون تعرضت للاختراق، مع ضرورة تدويرها فوراً.
من الناحية الفنية، تم إصلاح الثغرة عن طريق تقييد الوصول إلى نقطة نهاية REST API بحيث لا يمكن الوصول إليها إلا من قبل المستخدمين المسجلين בעלי صلاحيات إدارية. كما تم تعديل طريقة register_connector_data() لمنعها من الكشف عن البيانات الداخلية بدون تحقق من الأذونات المناسبة. هذه الإصلاحات تضمن أن即使 المهاجمين يحاولون الوصول إلى المسار الضعيف، فلن يحصلوا على أي بيانات حساسة.
نتائج حقيقية من ذكاء MEFAI الاصطناعي.احصل على خصم 50 دولار على الخطة الاحترافية.
ممول · الأداء السابق لا يشير إلى النتائج المستقبلية. ليست نصيحة مالية.
ماذا يجب على أصحاب المواقع فعله فوراً؟
أول خطوة حاسمة هي تحديث المكون الإضافي جافتي إس إم تي بي إلى النسخة 2.1.5 أو الأحدث فوراً. يمكن القيام بذلك عبر لوحة تحكم ووردبريس، من خلال الانتقال إلى قسم المكونات الإضافية واختيار تحديث المكون. بعد التحديث، يجب على أصحاب المواقع التحقق من أن الثغرة لم يتم استغلالها بالفعل. يمكن القيام بذلك عن طريق فحص سجلات الخادم (server logs) للبحث عن طلبات GET غير عادية إلى المسار /wp-json/gravitysmtp/v1/tests/mock-data مع معلمة الاستعلام ?page=gravitysmtp-settings.
ثانياً، يجب تدوير جميع المفاتيح السرية والرموز التي كانت متصلة بالمكون الإضافي، بما في ذلك مفاتيح API لخدمات البريد الإلكتروني، ورموز OAuth، وكلمات مرور حسابات الإدارة. هذا الإجراء ضروري حتى إذا لم يكن هناك دليل على اختراق، لأن المهاجمين قد يكونوا استغلوا الثغرة دون ترك أثر واضح. كما يجب مراجعة جميع حسابات الخدمات الخارجية المرتبطة بالموقع للتأكد من عدم وجود نشاط مشبوه.
ثالثاً، ينصح بإجراء فحص أمني شامل للموقع باستخدام أدوات مثل Wordfence أو Sucuri. هذه الأدوات يمكنها اكتشاف أي محاولات اختراق سابقة أو ثغرات أخرى في الموقع. كما يجب تحديث جميع المكونات الإضافية والسمات إلى أحدث الإصدارات، لأن الثغرات الأمنية غالباً ما تستغل في مكونات قديمة. وأخيراً، يجب تمكين تسجيل الدخول الثنائي (2FA) لجميع حسابات الإدارة، لتقليل خطر الوصول غير المصرح به في المستقبل.
ما هي الدروس المستفادة من هذا الاستغلال؟
توضح هذه الثغرة أهمية تحديث المكونات الإضافية بانتظام، خاصة تلك التي تتعامل مع بيانات حساسة مثل معلومات البريد الإلكتروني. العديد من المواقع تعتمد على المكونات الإضافية دون مراقبة تحديثاتها، مما يجعلها هدفاً سهلاً للمهاجمين. بالإضافة إلى ذلك، يجب على أصحاب المواقع مراجعة الأذونات الممنوحة للمكونات الإضافية، والتأكد من أنها لا تسمح بالكشف عن بيانات حساسة بدون سبب ضروري.
كما تبرز هذه الحادثة أهمية مراقبة سجلات الخادم بانتظام، حيث يمكن أن تكشف عن محاولات استغلال مبكرة. Many attackers probe for known vulnerabilities before launching full-scale attacks, so early detection can prevent significant damage. Finally, the exposure of API keys and OAuth tokens underscores the need for robust secret management practices, including regular rotation and limited scope for each credential.
كيف يمكن للمهاجمين استغلال البيانات المسروقة في هجمات لاحقة؟
بعد سرقة مفاتيح API، يمكن للمهاجمين استخدامها لإرسال رسائل بريد إلكتروني من موقع الضحية، مما قد يؤدي إلى إرسال رسائل خادعة أو رسائل تصيد تبدو شرعية. هذه الرسائل يمكن أن تحتوي على روابط خبيثة أو مرفقات ضارة، مما يؤدي إلى إصابة زوار الموقع ببرامج الفدية أو أحصنة طروادة. بالإضافة إلى ذلك، يمكن استخدام رموز OAuth للوصول إلى حسابات تخزين سحابي أو وسائل التواصل الاجتماعي مرتبطة بالموقع، مما يسمح للمهاجمين بنشر محتوى ضار أو سرقة بيانات إضافية.
كما يمكن للمهاجمين استخدام معلومات النظام المسروقة لتنفيذ هجمات موجهة ضد مكونات أخرى في الموقع. على سبيل المثال، إذا كشف تقرير النظام عن ثغرة معروفة في مكون إضافي آخر، يمكن للمهاجم استغلالها للحصول على وصول كامل إلى الموقع. لذا، فإن سرقة البيانات من جافتي إس إم تي بي لا تشكل خطراً مباشراً فحسب، بل تمهد الطريق لهجمات أوسع نطاقاً ضد الموقع وخدماته المرتبطة.
ما هي الخطوات التالية التي يجب على الشركات والمنظمات اتخاذها؟
بالنسبة للشركات والمنظمات التي تدير مواقع ووردبريس، يجب أن تكون هذه الحادثة بمثابة جرس إنذار لتقييم ممارسات الأمن السيبراني لديها.首先، يجب وضع سياسة واضحة لتحديث المكونات الإضافية بانتظام، مع اختبار التحديثات في بيئة تجريبية قبل تطبيقها على المواقع الإنتاجية. كما يجب تدريب فرق التطوير والأمن على اكتشاف الثغرات الأمنية الشائعة وكيفية التصدي لها.
ثانياً، يجب اعتماد أدوات مراقبة مستمرة للسجلات وحركة المرور، مع إعداد تنبيهات فورية لأي نشاط مشبوه. يمكن لهذه الأدوات اكتشاف محاولات الاستغلال المبكرة، مما يسمح برد فعل سريع قبل حدوث ضرر كبير. وأخيراً، يجب على الشركات مراجعة سياسات إدارة المفاتيح السرية، وضمان تدويرها بانتظام وتقييد صلاحياتها إلى الحد الأدنى الضروري.
الخلاصة: كيف تحمي نفسك من هذا النوع من الهجمات؟
ثغرة جافتي إس إم تي بي هي تذكير صارخ بأن الأمن السيبراني يتطلب اهتماماً مستمراً وتحديثاً فورياً. أصحاب المواقع يجب أن يتخذوا خطوات فورية لتحديث المكونات الإضافية، وتدوير المفاتيح السرية، ومراجعة سجلات الخادم. كما يجب عليهم توعية الفرق الفنية حول أهمية الأمن السيبراني، واعتماد أدوات مراقبة مستمرة. By taking these steps, site owners can significantly reduce the risk of falling victim to similar exploits and protect both their data and their users.
المزيد في الأمن السيبراني والخصوصية
ثايكو تحث المستخدمين على سحب أموالهم بعد اختراق جسرها وسرقة 1.7 مليون دولار
ثايكو، الطبقة الثانية على إيثيريوم، تحث المستخدمين على سحب أموالهم فوراً بعد اكتشاف ثغرة في آلية التحقق من حالة السلسلة، مما سمح للمهاجمين بسرقة 1.7 مليون دولار من الجسور التابعة للشبكة.
ثغرة "الصك غير المحدود" تسرق 4.7 مليون دولار من شبكة Secret
استغل متسلل ثغرة "الصك غير المحدود" في عقد ذكي على شبكة Secret Network لسرقة 4.7 مليون دولار من عملات مشفرة، مما أثر على أصول Axelar المغلفة. اكتشف الاختراق بعد أسبوع من حدوثه.
شبكة AryStinger الخبيثة: كيف حولت آلاف موجهات D-Link إلى جنود في جيش إلكتروني خفي
اكتشفت شركة كيانسين للأمن الرقمي وجود شبكة خبيثة جديدة تدعى AryStinger استهدفت أكثر من 4 آلاف موجه D-Link قديم لتحويلها إلى نقاط وصول لحراس إلكترونيين خفيين، مما يهدد بسرقة البيانات واعتراض الاتصالات.