ثغرة خطيرة في إضافة جافا سكريبت SMTP جراڤتي على ووردبريس: كيف تعمل وما يجب فعله الآن

منذ بداية يونيو 2025، يستهدف مهاجمون مواقع ووردبريس من خلال ثغرة أمنية في إضافة جراڤتي SMTP (Gravity SMTP) تسمح لهم بسرقة معلومات حساسة دون الحاجة إلى تسجيل دخول. الثغرة، المعروفة باسم CVE-2026-4020، حصلت على تقييم "متوسط" من حيث الخطورة، لكن قدرتها على الاستغلال دون مصادقة تجعلها خطيرة جداً في الواقع. وفقاً لتحذيرات شركة ووردفنس (Wordfence)، التي تدير نظام حماية لمواقع ووردبريس، تم حظر أكثر من 17 مليون محاولة استغلال ضد عملائها حتى الآن، مع تسجيل ذروة بلغت 4 ملايين محاولة في يوم واحد. هذا التطور يسلط الضوء على مخاطر الثغرات "المتوسطة" التي يمكن أن تتحول إلى بوابات خطيرة إذا لم يتم التعامل معها بجدية.

كيف تعمل ثغرة CVE-2026-4020 في إضافة جراڤتي SMTP؟

الثغرة موجودة في إصدار 2.1.4 من إضافة جراڤتي SMTP وما قبله، وتم إصلاحها في الإصدار 2.1.5 الذي صدر في 17 مارس 2025. المشكلة تكمن في وجود نقطة نهاية (endpoint) في واجهة برمجة التطبيقات REST الخاصة بالإضافة، والتي تم تكوينها بشكل غير آمن بحيث تعيد دائماً قيمة "صحيحة" عند طلب إذن الوصول، مما يسمح لأي شخص بإرسال طلبات GET دون تسجيل دخول. عند استغلال هذه الثغرة، يمكن للمهاجمين الوصول إلى تقرير نظام مفصل (System Report) يتم إنشاؤه بواسطة الإضافة، والذي يحتوي على معلومات حساسة مثل بيانات اعتماد خدمة البريد الإلكتروني المستخدمة في الموقع، بالإضافة إلى تفاصيل حول بيئة الموقع البرمجية (مثل إصدارات PHP، وقواعد البيانات، والإضافات المثبتة).

المعلومات التي يتم الكشف عنها تشمل أسماء المستخدمين وكلمات المرور الخاصة بخدمات البريد الإلكتروني الثالثة مثل SendGrid أو Mailgun، والتي تستخدمها الإضافة لإرسال رسائل البريد الإلكتروني. هذا يعني أن المهاجم، بعد الحصول على هذه البيانات، يمكنه استخدام حسابات البريد الإلكتروني لشن هجمات انتحال الهوية (phishing) أو إرسال رسائل بريد إلكتروني ضارة من موقعك، مما قد يؤدي إلى إدراج الموقع في القائمة السوداء من قبل مزودي خدمات البريد الإلكتروني. علاوة على ذلك، فإن التقرير التفصيلي للنظام يقلل بشكل كبير من الجهد المطلوب لتنفيذ هجمات لاحقة ضد الموقع، حيث يمكن للمهاجم معرفة الثغرات المحتملة في الإصدارات القديمة من الإضافات أو الثيمات المستخدمة.

لماذا تعتبر هذه الثغرة "متوسطة" خطيرة جداً في الممارسة؟

على الرغم من التقييم الرسمي "المتوسط" من قبل قاعدة بيانات الثغرات الوطنية (NVD)، إلا أن هذه الثغرة تحمل خصائص تجعلها خطيرة بشكل غير متناسب. أولاً، عدم الحاجة إلى مصادقة يعني أن أي شخص على الإنترنت يمكنه استغلالها، وليس فقط المهاجمون الذين لديهم وصول مسبق إلى الموقع. ثانياً، البيانات التي يمكن الوصول إليها تشمل معلومات حيوية مثل بيانات اعتماد خدمات البريد الإلكتروني، والتي يمكن أن تؤدي إلى اختراق كامل لحسابات البريد الإلكتروني المرتبطة بالموقع. ثالثاً، التقرير النظامي المفصل الذي يتم الكشف عنه يساعد المهاجمين على تخطيط هجمات أكثر دقة، مثل استهداف ثغرات معروفة في الإضافات أو الثيمات المثبتة.

في السياق نفسه، أظهرت شركة ووردفنس أن النشاط الاستغلالي لهذه الثغرة قد ارتفع بشكل ملحوظ في 7 يونيو 2025، حيث تم حظر 4 ملايين طلب استغلال في ذلك اليوم وحده. هذا يشير إلى أن المهاجمين يقومون بمسح واسع النطاق للبحث عن مواقع ضعيفة، وأنهم يستهدفون هذه الثغرة بشكل منهجي. علاوة على ذلك، قامت الشركة بتحديد عناوين IP الأكثر نشاطاً في إرسال طلبات الاستغلال، مما يسمح لمسؤولي المواقع بإضافتها إلى قوائم الحظر لديهم كإجراء وقائي فوري.

ما هي البيانات التي يمكن للمهاجمين الحصول عليها من هذه الثغرة؟

عندما يستغل المهاجمون هذه الثغرة، فإنهم يحصلون على تقرير نظام مفصل يحتوي على معلومات متعددة، بعضها مباشر وقابل للاستخدام على الفور، وبعضها الآخر يمكن أن يكون أساساً لهجمات لاحقة. من بين البيانات التي يمكن الوصول إليها:

• بيانات اعتماد خدمات البريد الإلكتروني الثالثة: مثل أسماء المستخدمين وكلمات المرور المستخدمة في خدمات مثل SendGrid أو Mailgun أو Amazon SES. هذه البيانات تسمح للمهاجمين بإرسال رسائل بريد إلكتروني باسم الموقع، مما قد يؤدي إلى إساءة استخدام سمعة الموقع أو استخدامه في هجمات انتحال الهوية.
• تفاصيل بيئة الموقع: مثل إصدار PHP، وإصدارات قاعدة البيانات (مثل MySQL أو MariaDB)، والإضافات المثبتة، والثيمات المستخدمة. هذه المعلومات تساعد المهاجمين على تحديد الثغرات المعروفة في الإصدارات القديمة، مما يقلل من الجهد المطلوب لاستغلالها.
• معلومات حول إعدادات الموقع: مثل عنوان خادم البريد (SMTP server) المستخدم، ومنفذ الاتصال، وطرق المصادقة. هذه البيانات يمكن أن تساعد في تخطيط هجمات أكثر تعقيداً، مثل اختراق خوادم البريد الإلكتروني الداخلية.
• قائمة بملفات التكوين: مثل ملف wp-config.php، الذي يحتوي على مفاتيح التشفير الأساسية للموقع. إذا كان هذا الملف متاحاً، فقد يتمكن المهاجمون من الحصول على مفاتيح API أو معلومات حساسة أخرى.

كيف يتم استغلال هذه الثغرة في الهجوم؟ وما هي مؤشرات الاختراق؟

يتم استغلال الثغرة من خلال إرسال طلبات GET إلى نقطة نهاية محددة في واجهة برمجة التطبيقات REST الخاصة بالإضافة. المسار الدقيق هو /wp-json/gravitysmtp/v1/tests/mock-data، وغالباً ما يتم تضمين معلمة الاستعلام ?page=gravitysmtp-settings في الطلب. عند تلقي هذا الطلب، تعيد الإضافة تقرير النظام المفصل دون التحقق من هوية المرسل، مما يسمح للمهاجم بجمع البيانات الحساسة.

أحد المؤشرات الرئيسية للاختراق هو وجود طلبات إلى المسار المذكور أعلاه في سجلات خادم الويب (web server logs). إذا وجدت مثل هذه الطلبات، خاصة تلك التي تحتوي على معلمة الاستعلام page=gravitysmtp-settings، فهذا يشير إلى أن شخصاً ما يحاول استغلال الثغرة. بالإضافة إلى ذلك، يمكن لمسؤولي المواقع التحقق من وجود محاولات وصول غير عادية إلى واجهة إدارة ووردبريس (wp-admin) أو إلى نقاط نهاية REST الأخرى، خاصة إذا كانت تأتي من عناوين IP غير معروفة أو مشبوهة.

شركة ووردفنس قامت بتحديد قائمة بعناوين IP الأكثر نشاطاً في إرسال طلبات الاستغلال، مما يسمح لمسؤولي المواقع بإضافتها إلى قوائم الحظر لديهم. من المهم ملاحظة أن هذه العناوين قد تتغير بمرور الوقت، لذا يجب على مسؤولي المواقع تحديث قوائم الحظر بانتظام ومراقبة النشاط المشبوه باستمرار.

كيف يمكن لمشغلي المواقع حماية أنفسهم من هذه الثغرة؟

أول خطوة يجب اتخاذها هي تحديث إضافة جراڤتي SMTP إلى الإصدار 2.1.5 أو الأحدث فوراً. هذا الإصدار يحتوي على إصلاح للثغرة، ولا يمكن استغلالها بعد تثبيته. إذا لم يكن التحديث متاحاً من خلال لوحة تحكم ووردبريس (due to auto-update issues)، فيجب على مسؤولي المواقع تنزيل الإصدار الأحدث يدوياً وتثبيته عبر لوحة الإدارة.

إذا لم يتمكن الموقع من التحديث فوراً، يمكن اتخاذ إجراءات مؤقتة للحد من خطر الاستغلال:

• تعطيل نقطة نهاية REST غير الضرورية: يمكن لمسؤولي المواقع تعطيل نقاط نهاية REST غير المستخدمة من خلال إضافة تعليمات برمجية (code snippet) إلى ملف functions.php في ثيم الطفل (child theme) أو من خلال استخدام إضافة أمان مثل "Disable REST API".
• تقييد الوصول إلى واجهة إدارة ووردبريس: يمكن تقييد الوصول إلى لوحة الإدارة باستخدام جدران الحماية (firewalls) مثل Cloudflare أو Sucuri، أو من خلال إضافة قواعد إلى ملف .htaccess لحظر الوصول من عناوين IP المشبوهة.
• مراقبة سجلات الخادم: يجب على مسؤولي المواقع فحص سجلات خادم الويب بانتظام للبحث عن محاولات الوصول إلى المسار /wp-json/gravitysmtp/v1/tests/mock-data، خاصة تلك التي تحتوي على معلمة الاستعلام page=gravitysmtp-settings. إذا تم اكتشاف مثل هذه المحاولات، يجب اتخاذ إجراءات فورية مثل حظر عناوين IP أو فحص الموقع بحثاً عن علامات اختراق.
• تغيير بيانات اعتماد خدمات البريد الإلكتروني: إذا كان الموقع يستخدم خدمات بريد إلكتروني خارجية مثل SendGrid أو Mailgun، يجب على مسؤولي المواقع تغيير كلمات المرور الخاصة بهذه الخدمات فوراً، خاصة إذا كانت بيانات الاعتماد كانت متاحة من خلال الثغرة.

ما هي الخطوات التالية بعد التحديث؟ وكيف يمكن التأكد من عدم وجود اختراق سابق؟

بعد تحديث إضافة جراڤتي SMTP، يجب على مسؤولي المواقع اتخاذ خطوات إضافية للتأكد من عدم وجود اختراق سابق. أولاً، يجب فحص الموقع بحثاً عن أي علامات تدل على وجود اختراق، مثل:

• وجود مستخدمين جدد أو غير معروفين في قائمة مستخدمي ووردبريس، خاصة أولئك الذين لديهم صلاحيات إدارية.
• وجود ملفات غريبة أو غير معروفة في دليل جذر الموقع، خاصة تلك التي تحتوي على أسماء مثل "shell.php" أو "backdoor.php".
• وجود روابط مشبوهة في قاعدة بيانات الموقع، مثل روابط تؤدي إلى مواقع ضارة أو نطاقات غير معروفة.
• وجود محاولات وصول غير عادية إلى قاعدة البيانات أو إلى خدمات البريد الإلكتروني.

يمكن لمسؤولي المواقع استخدام أدوات فحص الأمان مثل Wordfence Scanner أو Sucuri SiteCheck لفحص الموقع بحثاً عن العلامات المذكورة أعلاه. هذه الأدوات يمكنها الكشف عن الثغرات المعروفة، والبرمجيات الخبيثة، وأنشطة الاختراق المحتملة. إذا تم اكتشاف أي علامات تدل على وجود اختراق، يجب اتخاذ إجراءات فورية مثل استعادة الموقع من نسخة احتياطية نظيفة أو الاتصال بخبير أمان متخصص.

كيف تؤثر هذه الثغرة على بيئة ووردبريس بشكل أوسع؟

هذه الثغرة تأتي في وقت تتزايد فيه الهجمات على مواقع ووردبريس، خاصة تلك التي تعتمد على الإضافات القديمة أو غير المحدثة. في الأسبوع الماضي فقط، أصدرت شركة ووردفنس تحذيراً آخر بشأن ثغرة حرجة في إضافة Avada Builder، والتي تستخدم في مليون موقع، مما يسمح للمهاجمين بحذف ملفات النظام arbitrary file deletion دون مصادقة. هذا يشير إلى أن المهاجمين يستهدفون بشكل منهجي الإضافات الشائعة في ووردبريس، بغض النظر عن حجم الموقع أو أهميته النسبية.

السبب وراء هذا الاتجاه هو أن ووردبريس هو نظام إدارة المحتوى الأكثر شيوعاً في العالم، مما يجعله هدفاً جذاباً للمهاجمين الذين يبحثون عن أكبر عدد ممكن من الضحايا. بالإضافة إلى ذلك، تعتمد العديد من المواقع على الإضافات التي لم يتم تحديثها منذ فترة طويلة، مما يجعلها عرضة للثغرات المعروفة. هذا الوضع يتطلب من مسؤولي المواقع اتخاذ إجراءات استباقية، مثل تحديث الإضافات بانتظام، ومراقبة النشاط المشبوه، واستخدام أدوات أمان متخصصة.

ما يجب على مطوري الإضافات تعلمه من هذه الحادثة؟

هذه الحادثة تسلط الضوء على أهمية تصميم واجهات برمجة التطبيقات (APIs) بشكل آمن، خاصة تلك التي تتعامل مع بيانات حساسة. يجب على مطوري الإضافات التأكد من أن جميع نقاط نهاية REST تتطلب مصادقة مناسبة، وأن لا يتم الكشف عن معلومات حساسة دون إذن. بالإضافة إلى ذلك، يجب عليهم إصدار تحديثات أمنية بشكل دوري، خاصة بعد اكتشاف ثغرات جديدة، وضمان وصول هذه التحديثات إلى جميع المستخدمين في الوقت المناسب.

من المهم أيضاً أن يتعاون مطورو الإضافات مع شركات أمن ووردبريس مثل ووردفنس وسوكوري، التي تقدم أدوات لفحص الثغرات وصد الهجمات. هذه الشركات يمكنها تقديم نصائح حول أفضل الممارسات الأمنية، ومساعدة المطورين في اكتشاف الثغرات قبل أن يستغلها المهاجمون.

الخلاصة: كيف تحمي موقعك من هذه الثغرة وغيرها؟

ثغرة CVE-2026-4020 في إضافة جراڤتي SMTP هي تذكير بأن الثغرات "المتوسطة" يمكن أن تكون خطيرة جداً في الممارسة، خاصة إذا كانت تسمح للمهاجمين بالحصول على بيانات حساسة دون مصادقة. لحماية موقعك، يجب عليك:

1. تحديث إضافة جراڤتي SMTP إلى الإصدار 2.1.5 أو الأحدث فوراً.
2. فحص سجلات خادم الويب بحثاً عن محاولات استغلال، وحظر عناوين IP المشبوهة.
3. تغيير بيانات اعتماد خدمات البريد الإلكتروني الخارجية المستخدمة في الموقع.
4. فحص الموقع بحثاً عن علامات اختراق سابق، واستخدام أدوات فحص الأمان مثل Wordfence Scanner أو Sucuri SiteCheck.
5. اتخاذ إجراءات استباقية مثل تحديث جميع الإضافات بانتظام، ومراقبة النشاط المشبوه، واستخدام جدران حماية متخصصة.

في بيئة ووردبريس المتغيرة باستمرار، لا يكفي الاعتماد على التحديثات التلقائية وحدها. يجب على مسؤولي المواقع أن يكونوا يقظين، وأن يتخذوا خطوات استباقية لحماية مواقعهم من الهجمات المتزايدة. هذه الثغرة هي فرصة لإعادة تقييم استراتيجيات الأمان الخاصة بك، وضمان عدم تعرض موقعك للمخاطر نفسها في المستقبل.