الأمن السيبراني
#Forminator
#WordPress
ثغرة في إضافة Forminator تعرض مواقع ووردبريس لهجمات الاستيلاء
تعد ثغرة إضافة Forminator لمواقع ووردبريس خطراً كبيراً، حيث تتيح هجمات الاستيلاء على المواقع بشكل غير مصرح به. تم تصنيف هذه الثغرة تحت CVE-2025-6463 وتعتبر ذات تأثير عالي (درجة CVSS 8.8).
تفاصيل الثغرة
تؤثر هذه الثغرة على جميع إصدارات Forminator حتى 1.44.2، وتعود أسبابها إلى عدم كفاية التحقق من صحة المدخلات وعدم أمان منطق حذف الملفات في كود الإضافة.
عند تقديم المستخدم لنموذج، تقوم الدالة ‘save_entry_fields()’ بحفظ جميع قيم الحقول، بما في ذلك مسارات الملفات، دون التحقق مما إذا كانت تلك الحقول مخصصة للتعامل مع الملفات.
يمكن للمهاجم استغلال هذا السلوك لإدخال مصفوفة ملفات مُعدلة في أي حقل، مما يؤدي إلى حذف ملفات حيوية مثل ‘/var/www/html/wp-config.php’.
الاكتشاف والتصحيح
تم اكتشاف CVE-2025-6463 بواسطة الباحث الأمني ‘Phat RiO – BlueRock’، الذي أبلغ Wordfence في 20 يونيو وتلقى مكافأة بقيمة 8,100 دولار. بعد التحقق الداخلي من الاستغلال، تواصلت Wordfence مع WPMU DEV في 23 يونيو، الذين اعترفوا بالتقرير وبدأوا العمل على إصلاح.
في 30 يونيو، أصدرت الشركة النسخة 1.44.3 من Forminator، التي تضيف تحققاً من نوع الحقول والتحقق من مسارات الملفات لضمان أن الحذف يقتصر على دليل تحميلات ووردبريس.
التعليقات 0
سجل دخولك لإضافة تعليق
لا توجد تعليقات بعد. كن أول من يعلق!