في مايو 2025، تم اكتشاف ثغرة أمنية خطيرة في إضافة WordPress الشهيرة Eventin، والتي تُستخدم في إدارة الفعاليات على أكثر من 10,000 موقع إلكتروني. الثغرة، التي تحمل رمز CVE-2025-47539، تسمح للمهاجمين غير المصادق عليهم بإنشاء حسابات إدارية خفية عبر تحميل ملف CSV مُخادع، مما يمنحهم صلاحية التحكم الكامل بالموقع.
اكتشف أيضا ووردبريس تطلق أداة مجانية لإنشاء المواقع بالذكاء الاصطناعي: سهولة وإبداع للجميع
ما سبب الثغرة؟
الخلل يكمن في نقطة API داخل الإضافة، حيث لا يتم التحقق من صلاحيات المستخدم قبل استيراد البيانات، ما يتيح إمكانية رفع ملفات تُنشئ حسابات مشرفين دون علم صاحب الموقع.
كيف تحمي موقعك؟
- تحديث إضافة Eventin فورًا إلى الإصدار 4.0.27 أو أحدث.
- مراجعة قائمة المستخدمين والتأكد من عدم وجود حسابات مشبوهة.
- تغيير كلمات المرور لجميع حسابات المديرين.
- تفعيل المصادقة الثنائية (2FA) لتأمين الوصول إلى لوحة التحكم.
اكتشف أيضا اكتشاف ثغرة أمنية خطيرة في إضافة OttoKit ل WordPress
لماذا يُعد هذا مهمًا؟
الثغرات في إضافات ووردبريس هي من أكثر طرق الاختراق شيوعًا. التحديثات الأمنية الدورية والتدقيق في الإضافات المستخدمة أمر بالغ الأهمية للحفاظ على سلامة الموقع وبيانات المستخدمين.
تعليقات: (0) إضافة تعليق