يحتوي المكون الإضافي Anti-Malware Security وBrute-Force Firewall لـ WordPress، المثبت على أكثر من 100000 موقع، على ثغرة أمنية تسمح للمشتركين بقراءة أي ملف على الخادم، مما قد يؤدي إلى كشف معلومات خاصة.
يوفر البرنامج المساعد فحص البرامج الضارة والحماية ضد هجمات القوة الغاشمة، واستغلال عيوب البرنامج المساعد المعروفة، وضد محاولات حقن قاعدة البيانات.
تم تحديد الثغرة الأمنية على أنها CVE-2025-11705″http://www.wordfence.com/blog/2025/10/100000-wordpress-sites-affected-by-arbitrary-file-read-vulnerability-in-anti-malware-security-and-brute-force-firewall-wordpress-plugin/” الهدف=”_blank” rel=”nofollow noopener”> تم الإبلاغ عنها إلى Wordfence بواسطة الباحث Dmitrii Ignatyev ويؤثر على إصدارات البرنامج المساعد 4.23.81 والإصدارات السابقة.
تنبع المشكلة من عدم وجود اختبارات القدرة في GOTMLS_ajax_scan() وظيفة تقوم بمعالجة طلبات AJAX باستخدام رقم يمكن للمهاجمين الحصول عليه.
تسمح هذه المراقبة للمستخدم ذي الامتيازات المنخفضة، والذي يمكنه استدعاء الوظيفة، بقراءة الملفات العشوائية الموجودة على الخادم، بما في ذلك البيانات الحساسة مثلwp-config.phpملف التكوين الذي يخزن اسم قاعدة البيانات وبيانات الاعتماد.
من خلال الوصول إلى قاعدة البيانات، يمكن للمهاجم استخراج تجزئات كلمة المرور ورسائل البريد الإلكتروني للمستخدمين والمشاركات والبيانات الخاصة الأخرى (والمفاتيح والأملاح للمصادقة الآمنة).
وعلى الرغم من أن خطورة الثغرة لا تعتبر حرجة، لأن المصادقة مطلوبة للاستغلال، فإن العديد من مواقع الويب تسمح للمستخدمين بالاشتراك وزيادة وصولهم إلى أقسام مختلفة من الموقع، مثل التعليقات.
المواقع التي تقدم أي نوع من العضوية أو الاشتراك، مما يسمح للمستخدمين بإنشاء حسابات، وتلبية المتطلبات، وتكون عرضة للهجمات التي تستغل CVE-2025-11705.
أبلغت Wordfence البائع Eli بالمشكلة، بالإضافة إلى ثغرة تم التحقق من صحتها لإثبات المفهوم، من خلال فريق أمان WordPress.org، في 14 أكتوبر.
في 15 أكتوبر، أصدر المطور الإصدار 4.23.83 من البرنامج الإضافي الذي يعالج CVE-2025-11705 عن طريق إضافة فحص مناسب لقدرة المستخدم عبر وظيفة ‘GOTMLS_kill_invalid_user()’ الجديدة.
وفق”https://wordpress.org/plugins/gotmls/advanced/” الهدف=”_blank” rel=”nofollow noopener”> إحصائيات WordPress.org، قام ما يقرب من 50000 من مسؤولي مواقع الويب بتنزيل أحدث إصدار منذ إصداره، مما يشير إلى أن عددًا متساويًا من المواقع يقوم بتشغيل إصدار ضعيف من البرنامج الإضافي.
في الوقت الحالي، لم يكتشف Wordfence علامات الاستغلال في البرية، ولكن يوصى بشدة بتطبيق التصحيح، حيث أن الكشف العلني عن المشكلة قد يلفت انتباه المهاجمين.