طلب موقع وردبرس WordPress الشهير من الذين يستخدمون المكون الإضافي Ultimate Member تنزيل أحدث إصدار من البرنامج لمنع الهجمات التي تحاول استغلال أخطاء العديد من الثغرات الأمنية الحرجة والسهلة، والتي قد تؤدي في حال نجاح الهجوم إلى الاستيلاء على الموقع الالكتروني بالكامل.

Ultimate Member عبارة عن مكون إضافي لبرنامج WordPress قابل للتوسيع مع أكثر من 100،000 عملية تثبيت نشطة. هو مصمم لتسهيل مهمة إدارة الملفات الشخصية والعضوية، ويوفر دعماً لإنشاء مواقع الويب التي تسمح بالتسجيل السهل وببناء مجتمعات عبر الإنترنت تحظى بامتيازات مخصصة لمختلف أدوار المستخدمين.

 

أخطاء تسمح بتصعيد الامتياز

العيوب الأمنية الثلاثة التي كشف عنها Wordfence كان من الممكن أن تسمح للمهاجمين بتصعيد امتيازاتهم إلى المشرفين والاستيلاء بالكامل على أي موقع WordPress، عبر استخدام تثبيت Ultimate Member الضعيف.

فبمجرد أن يحصل المهاجم على حق الوصول الإداري إلى موقع WordPress، يكون قد استولى بشكل فعال على الموقع بالكامل ويمكنه عندها تنفيذ أي إجراء ، بدءاً من قطع اتصال الموقع بالإنترنت إلى زيادة إصابة الموقع ببرامج ضارة عديدة.

حصل اثنان من الأخطاء على تصنيف CVSS بحده الأقصى 10/10 نظراً لأهميتهما الكبيرة. فيما تم تصنيف العيب الأمني الثالث بـ 9.8 / 10 لأنه يتطلب وصول wp-admin إلى صفحة profile.php الخاصة بالموقع، ولكنها لا تزال تعتبر بالغة الأهمية لأنها تسمح لأي مهاجم مصادق عليه برفع الامتيازات إلى المسؤول بجهد ضئيل للغاية.

وبعد الكشف عن الثغرات الأمنية لفريق تطوير البرنامج في 26 أكتوبر، تم إصلاح جميع أخطاء تصعيد الامتيازات الثلاثة في إصدار Ultimate Member 2.1.12 في 29 أكتوبر. ومن هنا ضرورة تثبيت الإصدار الجديد بسرعة.

 

لا تزال آلاف المواقع عرضة للهجمات

على الرغم من إصدار Ultimate Member 2.1.12، أي الإصدار الذي يعمل على إصلاح الثغرات الأمنية الثلاثة، فقد تم تنزيل المكون الإضافي نحو 75000 مرة مع ما يقرب من 32000 مرة في اليوم التالي لإصدار التحديث. وذلك وفقًا لبيانات التنزيل التاريخية التي تشمل التحديثات والتثبيتات الجديدة.

هذا يعني أن ما لا يقل عن 25000 موقع WordPress ما زالوا يستخدمون الإصدار القديم من Ultimate Member، مما يضعهم في خطر التعرض لهجمات محتملة في حال بدأ المهاجمون في استغلال هذه الأخطاء كجزء من الحملات الخبيثة المستقبلية.

لذلك يتم حث مستخدمي Ultimate Member على تحديث البرنامج المساعد إلى 2.1.12 في أقرب وقت ممكن لمنع الهجمات المصممة للسيطرة على المواقع التي تشغل إصدارات ضعيفة من هذا البرنامج المساعد.