يستغل المهاجمون ثغرة أمنية لتصعيد امتيازات الخطورة الحرجة (CVE-2025–8489) في المكون الإضافي King Addons for Elementor في WordPress، والذي يتيح لهم الحصول على أذونات إدارية أثناء عملية التسجيل.
بدأ نشاط التهديد في 31 أكتوبر، بعد يوم واحد فقط من الكشف عن المشكلة علنًا. حتى الآن، قام برنامج فحص الأمان Wordfence من شركة Defiant، وهي شركة تقدم خدمات الأمان لمواقع WordPress، بحظر أكثر من 48400 محاولة استغلال.
King Addons عبارة عن وظيفة إضافية تابعة لجهة خارجية لـ Elementor، وهو مكون إضافي شائع لإنشاء الصفحات المرئية لمواقع WordPress. يتم استخدامه في ما يقرب من 10000 موقع ويب، مما يوفر أدوات وقوالب وميزات إضافية.
يعد CVE-2025–8489، الذي اكتشفه الباحث Peter Thaleikis، عيبًا في معالج تسجيل البرنامج الإضافي الذي يسمح لأي شخص يقوم بالتسجيل بتحديد دور المستخدم الخاص به على موقع الويب، بما في ذلك دور المسؤول، دون فرض أي قيود.
وفق”https://www.wordfence.com/blog/2025/12/attackers-actively-exploiting-critical-vulnerability-in-king-addons-for-elementor-plugin/” الهدف=”_blank” rel=”nofollow noopener”> ملاحظات من Wordfence، يقوم المهاجمون بإرسال حرفيةadmin-ajax.php“تحديد الطلب”user_role=administrator“، لإنشاء حسابات إدارية مارقة على المواقع المستهدفة.
المصدر: وردفينس
لاحظ الباحثون ذروة نشاط الاستغلال بين 9 و10 نوفمبر، حيث كان عنوانا IP الأكثر نشاطًا: 45.61.157.120 (28900 محاولة) و2602:fa59:3:424::1 (16900 محاولة).
يوفر Wordfence قائمة أكثر شمولاً لعناوين IP المسيئة ويوصي مسؤولي مواقع الويب بالبحث عنها في ملفات السجل. يعد وجود حسابات المسؤول الجديدة أيضًا علامة واضحة على التسوية.
يُنصح أصحاب مواقع الويب بالترقية إلى الإصدار 51.1.35 من King Addons، الذي يتناول CVE-2025–8489، والذي تم إصداره في 25 سبتمبر.
يحذر باحثو Wordfence أيضًا من ثغرة أمنية خطيرة أخرى في الحقول المخصصة المتقدمة: البرنامج الإضافي الممتد، النشط على أكثر من 100000 موقع WordPress، والذي يمكن استغلاله من قبل مهاجم غير مصادق عليه لتنفيذ التعليمات البرمجية عن بعد.
يؤثر الخلل على الإصدارات من 0.9.0.5 إلى 0.9.1.1 من البرنامج الإضافي ويتم تتبعه حاليًا باسم CVE-2025-13486. تم اكتشافه والإبلاغ عنه بشكل مسؤول من قبل”https://x.com/dudekmar” الهدف=”_blank” rel=”nofollow noopener”> مارسين دوديك، رئيس الفريق الوطني للاستجابة لطوارئ الكمبيوتر (CERT) في بولندا.
الضعف هو “due to the function accepting user input and then passing that through call_user_func_array(),” Wordfence يشرح.
“وهذا يجعل من الممكن للمهاجمين غير المصادقين تنفيذ تعليمات برمجية عشوائية على الخادم، والتي يمكن الاستفادة منها لإدخال أبواب خلفية أو إنشاء حسابات مستخدمين إدارية جديدة.”
تم الإبلاغ عن المشكلة الأمنية في 18 نوفمبر، وقام بائع البرنامج الإضافي بمعالجتها في الإصدار 0.9.2 من Advanced Custom Fields: Extended، الذي تم إصداره بعد يوم من تلقي تقرير الثغرة الأمنية.
ونظرًا لأنه لا يمكن الاستفادة من الخلل دون المصادقة إلا من خلال طلب معد، فمن المرجح أن يؤدي الكشف العام عن التفاصيل الفنية إلى إنشاء نشاط ضار.
يُنصح أصحاب مواقع الويب بالانتقال إلى الإصدار الأحدث في أسرع وقت ممكن أو تعطيل المكون الإضافي على مواقعهم.
“https://www.bleepstatic.com/c/t/tines/tines-keyhole.jpg” البديل=”tines”>
قم بتفكيك صوامع IAM مثل Bitpanda وKnowBe4 وPathAI
إن تعطل IAM لا يمثل مجرد مشكلة تتعلق بتكنولوجيا المعلومات – بل يمتد التأثير عبر عملك بالكامل.
يغطي هذا الدليل العملي سبب فشل ممارسات IAM التقليدية في مواكبة المتطلبات الحديثة، وأمثلة على ذلك “good” تبدو IAM وكأنها قائمة مرجعية بسيطة لبناء استراتيجية قابلة للتطوير.