WordPress wp2shell: كيف يسمح عيبان أساسيان للمهاجمين بتشغيل التعليمات البرمجية دون تسجيل الدخول
بقلم نقولا حموي
18 يوليو 2026 | مدونة آراتيك
النسخة القصيرة
يمكن الآن لطلب HTTP مجهول الاستيلاء على موقع WordPress. لا توجد كلمة مرور، ولا مكون إضافي، ولا تكوين خاطئ - مجرد تثبيت WordPress فقط. تعمل اثنتين من نقاط الضعف المتسلسلة حديثًا، CVE-2026-63030 وCVE-2026-60137، على تحويل موقع WordPress 6.9 أو 7.0 القياسي إلى هدف لتنفيذ التعليمات البرمجية عن بُعد. العيوب جوهرية، والاستغلال عام، ويتم طرح التصحيحات بالفعل عبر التحديثات التلقائية القسرية.
إذا قمت بتشغيل WordPress لعميل أو محفظة أو أداة داخلية، فهذا مهم.
ما هو wp2shell؟
اكتشف الباحث الأمني Adam Kues (Searchlight Cyber / Assetnote) ونشر سلسلة من الأخطاء التي تتجاوز المصادقة بالكامل. يأتي الاسم wp2shell من نتيجة الهجوم: يرسل مهاجم غير مصادق طلبًا معدًا ويحصل على shell — وهو تنفيذ التعليمات البرمجية بالكامل على الخادم.
تعمل السلسلة على النحو التالي:
- CVE-2026-60137 — يتيح إدخال SQL في قلب WordPress للمهاجم التعامل مع قاعدة البيانات من خلال طلب لم تتم مصادقته.
- CVE-2026-63030 — تسمح الثغرة الأمنية لارتباك المسار الدفعي لـ REST API للمهاجم بتسلسل إدخال SQL في تصعيد الامتيازات وتنفيذ التعليمات البرمجية عن بُعد.
على حدة، كل خطأ خطير. إنهما معًا كارثيان لأن الهجوم لا يتطلب صفرًا من الشروط المسبقة: لا يوجد مستخدم مصادق عليه، ولا وصول للمسؤول، ولا مكون إضافي ضعيف.
من المتأثر؟
الإصدارات المتأثرة محددة:
إذا كان موقعك يشغل أي إصدار من 6.9.0 إلى 6.9.4 أو 7.0.0 إلى 7.0.1، فقد كان قابلاً للاستغلال حتى قام WordPress بشحن التحديثات التلقائية القسرية يوم الجمعة، 17 يوليو 2026.
الخبر السار: قام WordPress بتمكين التحديثات القسرية من خلال نظام التحديث التلقائي الخاص به، لذلك تم تصحيح العديد من المواقع بالفعل. الأخبار السيئة: أي موقع تم تعطيل التحديثات التلقائية فيه، أو أي موقع فاته الدفع الإجباري، يظل عرضة للخطر.
لماذا يختلف هذا عن عيوب WordPress الأخرى
توجد معظم نقاط الضعف في WordPress في المكونات الإضافية أو السمات. يعتبر الخلل الأساسي نادرًا وأكثر خطورة للأسباب التالية:
- كل تثبيت هو هدف. لا يمكن لأي تدقيق للمكونات الإضافية اكتشافه.
- سطح الهجوم عالمي. يتم تمكين REST API افتراضيًا.
- الاستغلال أمر تافه. إن إثبات المفهوم العملي متاح للعامة بالفعل على GitHub.
- التصحيح ليس أمرًا اختياريًا. يعد انتظار نافذة الصيانة التالية بمثابة مخاطرة.
تم نشر آلية wp2shell بالكامل في 17 يوليو، وتم إطلاق إثبات المفهوم (PoC) العامل في نفس اليوم. وهذا يعني أن كود الاستغلال أصبح الآن متاحًا لكل مهاجم، وليس فقط للباحث الأصلي.
ماذا يجب أن تفعل الآن
-
تحقق من الإصدار الخاص بك. قم بتسجيل الدخول إلى wp-admin وانظر إلى الزاوية اليمنى السفلية، أو قم بتشغيل "wp core version" عبر WP-CLI. إذا كنت على 6.9.x أقل من 6.9.5 أو 7.0x أقل من 7.0.2، فأنت معرض للخطر.
-
التحديث على الفور. يغلق الإصداران 6.9.5 و7.0.2 من WordPress كلاً من التهديدات المشتركة والتطرف. إذا كانت التحديثات التلقائية متوقفة عن التشغيل، فقم بالتحديث يدويًا الآن.
-
تحقق من وصول التصحيح. بعد التحديث، قم بتأكيد رقم الإصدار. لا تفترض أن التحديث القسري وصل إلى مضيفك.
-
البحث عن مؤشرات التسوية. لأن هذا الخلل يسمح بالوصول غير المصادق، تحقق من سجلات الوصول الخاصة بك بحثًا عن طلبات REST API غير المتوقعة إلى
/wp-json/wp/v2/أو/wp-json/wp/v2/usersقبل تاريخ التصحيح. -
تعزيز واجهة REST API الخاصة بك. إذا كنت لا تستخدم REST API، ففكر في تقييدها باستخدام قاعدة جدار الحماية أو مكون إضافي للأمان. وهذا لا يصلح الخلل، ولكنه يقلل من التعرض لأخطاء مستقبلية مماثلة.
الصورة الأكبر: البرامج الأساسية ليست آمنة بطبيعتها
غالبًا ما تتعامل المؤسسات مع WordPress على أنه "مجرد نظام إدارة محتوى" وتفترض أن الأمان يمثل مشكلة في البرنامج الإضافي. يثبت wp2shell خطأ هذا الافتراض. يمكن للبرنامج الأكثر ثقة على الإنترنت أن يشحن RCE للمصادقة المسبقة بشكل أساسي، والشيء الوحيد الذي يقف بينك وبين التسوية هو ما إذا كانت آلية التحديث الخاصة بك تعمل بعد ظهر يوم الجمعة.
بالنسبة للمؤسسات، الدرس هو نفسه كما هو الحال بالنسبة لأنظمة التشغيل: إيقاع التصحيح هو عنصر تحكم أمني. إذا لم يكن لدى فريقك سياسة تحديث أساسية موثقة ومختبرة لـ WordPress، فهذا هو تذكيرك لبناء واحدة.
نبذة عن الباحث
أبلغ آدم كويس عن خطأ المسار الدفعي من خلال برنامج HackerOne الخاص بـ WordPress. تم الإبلاغ عن حقن SQL بشكل منفصل من قبل الباحثين TF1T، وdtro، وhaongo. قامت Searchlight Cyber، وهي ذراع إدارة سطح الهجوم حيث يعمل Kues، بنشر المقالة تحت اسم wp2shell ولا تزال تحتفظ بتفاصيلها الفنية الكاملة أثناء توجيه مالكي الموقع إلى المدقق على wp2shell.com.
---## ل؛د
- هناك عيبان أساسيان في WordPress يؤديان إلى تنفيذ تعليمات برمجية عن بعد غير مصادق عليها.
- يؤثر على 6.9.0-6.9.4 و7.0.0-7.0.1.
- PoC العام مباشر. تم شحن التحديثات التلقائية الإجبارية في 17 يوليو.
- إذا كنت تدير مواقع WordPress، قم بالتحديث إلى 6.9.5 أو 7.0.2 اليوم.
نيكولا حموي هو مدير التكنولوجيا التنفيذي ومؤسس شركة aratech. وهو يكتب عن الأمن السيبراني والذكاء الاصطناعي وخيارات البنية التحتية التي تشكل الأعمال الرقمية الحديثة.