يمكن استغلال الثغرة الأمنية الخطيرة في الحقول المخصصة المتقدمة: البرنامج الإضافي Extended (ACF Extended) لـ WordPress عن بعد من قبل مهاجمين غير مصادقين للحصول على أذونات إدارية.
يعد ACF Extended، النشط حاليًا على 100000 موقع ويب، مكونًا إضافيًا متخصصًا يعمل على توسيع إمكانات البرنامج الإضافي Advanced Custom Fields (ACF) مع ميزات للمطورين ومنشئي المواقع المتقدمين.
يمكن الاستفادة من الثغرة الأمنية، التي يتم تتبعها باسم CVE-2025-14533، للحصول على امتيازات المسؤول عن طريق إساءة استخدام إجراء نموذج “إدراج مستخدم / تحديث مستخدم” الخاص بالمكون الإضافي، في إصدارات ACF Extended 0.9.2.1 والإصدارات السابقة.
“https://www.bleepstatic.com/c/w/wiz/AI-Data-Security-970×250.png” البديل=”Wiz”>
ينشأ الخلل من عدم فرض قيود على الأدوار أثناء إنشاء المستخدم أو تحديثه على أساس النموذج، ويعمل الاستغلال حتى عندما يتم تكوين قيود الأدوار بشكل مناسب في الإعدادات الميدانية.
“In the vulnerable version [of the plugin], there are no restrictions for form fields, so the user’s role can be set arbitrarily, even to ‘administrator’, regardless of the field settings, if there is a role field added to the form,” يشرح برنامج Wordfence.
“As with any privilege escalation vulnerability, this can be used for complete site compromise,” ويحذر الباحثون.
على الرغم من أن نتيجة استغلال الثغرة خطيرة، إلا أن Wordfence يشير إلى أن المشكلة قابلة للاستغلال فقط على المواقع التي تستخدم بشكل صريح نموذج “إنشاء مستخدم” أو “تحديث مستخدم” مع تعيين حقل دور.
تم اكتشاف CVE-2025-14533 بواسطة الباحث الأمني Andrea Bocchetti، الذي قدم تقريرًا إلى Wordfence في 10 ديسمبر 2025 للتحقق من صحة المشكلة وتصعيدها إلى البائع.
وبعد أربعة أيام، قام البائع بمعالجة المشكلة وإصدارها في الإصدار 0.9.2.2 من ACF Extended.
بناءً على إحصائيات التنزيل من”https://wordpress.org/plugins/acf-extended/advanced/” الهدف=”_blank” rel=”nofollow noopener”> wordpress.org، قام ما يقرب من 50000 مستخدم بتنزيل البرنامج الإضافي منذ ذلك الحين. وبافتراض أن جميع التنزيلات كانت لأحدث إصدار، فإن ذلك يترك عددًا متساويًا تقريبًا من المواقع عرضة للهجمات.
نشاط تعداد المكونات الإضافية لـ WordPress
على الرغم من عدم ملاحظة أي هجمات تستهدف CVE-2025-14533 حتى الآن، إلا أن تقريرًا صادرًا عن شركة مراقبة التهديدات”https://www.labs.greynoise.io/grimoire/2026-01-19-creepy-crawlers-hunting-those-who-hunt-for-wordpress-plugins/index.html” الهدف=”_blank” rel=”nofollow noopener”>يعرض GrayNoise نشاط استطلاع واسع النطاق لمكونات WordPress الإضافية يهدف إلى تعداد المواقع التي يحتمل أن تكون معرضة للخطر.
وفقًا لـ GreyNoise، في الفترة من أواخر أكتوبر 2025 إلى منتصف يناير 2026، استهدف ما يقرب من 1000 عنوان IP عبر 145 ASNs 706 مكونات إضافية مميزة لـ WordPress في أكثر من 40000 حدث تعداد فريد.
المكونات الإضافية الأكثر استهدافًا هي Post SMTP وLoginizer وLiteSpeed Cache وSEO by Rank Math وElementor وDuplicator.
المصدر: غراي نويز
كان الاستغلال النشط لخلل Post SMTP CVE-2025-11833″https://www.bleepingcomputer.com/news/security/hackers-exploit-wordpress-plugin-post-smtp-to-hijack-admin-accounts/” الهدف=”_blank” rel=”nofollow noopener”> تم الإبلاغ عنه في أوائل نوفمبر 2025 بواسطة Wordfence، وتشير سجلات GreyNoise إلى جهد مركز لاستهداف هذا الخلل الذي يشمل 91 عنوان IP.
عيب آخر حث GreyNoise المسؤولين على تصحيحه هو CVE-2024-28000، والذي يؤثر على LiteSpeed Cache وكان”https://www.bleepingcomputer.com/news/security/hackers-are-exploiting-critical-bug-in-litespeed-cache-plugin/” الهدف=”_blank” rel=”nofollow noopener”> تم وضع علامة عليها على أنها مستغلة بشكل نشط بواسطة Wordfence في أغسطس 2024.
معيار ميزانية CISO لعام 2026
إنه موسم الميزانية! شارك أكثر من 300 من كبار مسؤولي أمن المعلومات وقادة الأمن كيفية التخطيط والإنفاق وتحديد الأولويات للعام المقبل. يجمع هذا التقرير رؤاهم، مما يسمح للقراء بقياس الاستراتيجيات، وتحديد الاتجاهات الناشئة، ومقارنة أولوياتهم مع توجههم إلى عام 2026.
تعرف على كيفية قيام كبار القادة بتحويل الاستثمار إلى تأثير قابل للقياس.