يهدد خلل حرج في حقن SQL (SQLi) بيانات أكثر من ربع مليون موقع ووردبريس، وذلك عبر مكون Elementor Ally الإضافي الذي يستخدمه أكثر من 400 ألف موقع. تتيح هذه الثغرة الأمنية، التي يمكن استغلالها دون الحاجة إلى مصادقة، سرقة البيانات الحساسة وتعريضها للخطر.
تم تحديد هذه المشكلة الأمنية الخطيرة، والتي تحمل المعرف CVE-2026-2313، بدرجة خطورة عالية جدًا. وقد اكتشفها درو ويبر، مهندس الأمن الهجومي في شركة Acquia، المتخصصة في تقديم منصات التجربة الرقمية (DXP) للشركات الكبرى.
ما هو حقن SQL (SQLi)؟
تُعد ثغرات حقن SQL من أقدم وأخطر المشاكل الأمنية التي لا تزال تهدد الأنظمة الرقمية منذ أكثر من 25 عامًا. تحدث هذه الثغرات عندما يتم إدخال بيانات المستخدم مباشرة في استعلامات قاعدة بيانات SQL دون التحقق أو التطهير المناسب.
يسمح هذا الأسلوب للمهاجمين بإدخال أوامر SQL مخصصة، مما يتيح لهم التلاعب بسلوك الاستعلامات الأصلية لقراءة البيانات الحساسة، أو تعديلها، أو حتى حذفها من قاعدة البيانات، دون أي مصادقة مسبقة.
تفاصيل ثغرة CVE-2026-2313 في Elementor Ally
تؤثر الثغرة الأمنية CVE-2026-2313 على جميع إصدارات مكون Ally الإضافي حتى الإصدار 4.0.3. تكمن المشكلة في المعالجة غير السليمة لمعلمة عنوان URL التي يوفرها المستخدم ضمن دالة get_global_remediations()، مما يسمح للمهاجمين غير المصادقين بإدخال استعلامات SQL عبر مسار URL.
وفقًا للتحليل الفني من Wordfence، يرجع ذلك إلى عدم كفاية عملية الهروب (escaping) لمعلمة URL، حيث يتم دمجها مباشرة في عبارة SQL JOIN دون التطهير المناسب لسياق SQL. وعلى الرغم من استخدام esc_url_raw() لضمان سلامة عنوان URL، إلا أنه لا يمنع إدخال أحرف SQL الأساسية مثل علامات الاقتباس والأقواس، مما يفتح الباب أمام حقن SQL.
يتيح هذا للمهاجمين إلحاق استعلامات SQL إضافية بالاستعلامات الأصلية، ومن ثم استخراج معلومات حساسة من قاعدة البيانات باستخدام تقنيات حقن SQL العمياء القائمة على الوقت. يُذكر أن استغلال هذه الثغرة يتطلب أن يكون المكون الإضافي Ally متصلاً بحساب Elementor وأن تكون وحدة المعالجة الخاصة به نشطة.
الإصلاح والحالة الراهنة
بعد الكشف عن الثغرة والتحقق منها من قبل شركة Wordfence في 13 فبراير، قامت Elementor بإصلاح الخلل سريعًا في الإصدار 4.1.0، الذي صدر في 23 فبراير. وقد كوفئ الباحث الذي اكتشف الثغرة بمكافأة قدرها 800 دولار.
ومع ذلك، تشير الإحصائيات من WordPress.org إلى أن حوالي 36% فقط من المواقع التي تستخدم مكون Ally الإضافي قد قامت بالترقية إلى الإصدار 4.1.0. هذا يعني أن أكثر من 250 ألف موقع ووردبريس لا تزال معرضة لخطر الاستغلال من خلال ثغرة CVE-2026-2313.
خطوات حماية موقعك
للحفاظ على أمان موقعك من هذه الثغرة وغيرها من التهديدات، يوصى باتخاذ الإجراءات التالية فورًا:
- ترقية مكون Ally الإضافي: تأكد من تحديث مكون Elementor Ally الإضافي إلى الإصدار 4.1.0 أو أحدث.
- تحديث ووردبريس: قم بتثبيت آخر تحديث أمني لمنصة ووردبريس، وهو WordPress 6.9.2 (أو أحدث)، والذي يعالج 10 نقاط ضعف حرجة أخرى، بما في ذلك ثغرات XSS، وتجاوز التفويض، وتزوير الطلبات من جانب الخادم (SSRF).
في عالم التكنولوجيا المتطور باستمرار، يظل اليقظة والتحديث المستمر للمكونات والأنظمة الأساسية أمرًا حتميًا لضمان أمان مواقع الويب وحماية بيانات المستخدمين من الهجمات السيبرانية المتزايدة.