مديرية أمن نظم المعلومات تحذر من ثغرات “حرجة” في إضافات ووردبريس تهدد المواقع الإخبارية ومنصات التجارة الإلكترونية

أصدرت المديرية العامة لأمن نظم المعلومات (DGSSI)، التابعة لإدارة الدفاع الوطني، نشرة أمنية تحذيرية تحت رقم مرجع (62021303/26)، تنبه فيها إلى رصد ثغرات برمجية بالغة الخطورة في مجموعة من الإضافات (Plugins) الأكثر شيوعا على منصة “وردبريس”.

وتصنف هذه الثغرات ضمن مستوى مخاطر “مهم”، حيث تؤثر بشكل مباشر على إضافات حيوية مثل “WooCommerce” و”Ally” و”wpDiscuz”، مما يضع مئات المواقع الإلكترونية المغربية، وخاصة منصات التجارة الإلكترونية والمواقع الإخبارية، تحت تهديد مباشر بالاختراق ما لم يتم اتخاذ إجراءات تصحيحية فورية.

تكمن خطورة هذه الثغرات في قدرتها على منح المهاجمين صلاحيات واسعة وغير مصرح بها، تشمل تنفيذ برمجيات خبيثة عن بُعد (RCE) والتحكم الكامل في خوادم المواقع المتضررة. وأوضحت النشرة أن استغلال هذه الفجوات الأمنية، التي تحمل معرفات دولية مثل (CVE-2026-3891)، قد يؤدي إلى رفع الامتيازات داخل النظام، مما يسمح للمقرصنين بحذف أو رفع ملفات عشوائية، بل والسيطرة التامة على حسابات الإدارة (Admin Accounts)، مما يهدد بسلامة البيانات الحساسة للمستخدمين والزبناء.

وبناء على المعطيات التقنية الصادرة عن مركز اليقظة والرصد والتصدي للهجمات المعلوماتية (maCERT)، فإن الأنظمة المتضررة تشمل إصدارات محددة من إضافات “WooCommerce” الأقدم من 1.6.0، وإضافة “Ally” لولوجية الويب الأقدم من 4.1.0، بالإضافة إلى نظام التعليقات “wpDiscuz” الأقدم من 7.6.47. هذه الإضافات تعاني من عيوب برمجية تتيح تقنيات متطورة للاختراق مثل “SQL Injection” و “Arbitrary File Upload”، وهي أساليب تستهدف الوصول إلى قواعد البيانات المسجلة وتعديل محتوى المواقع دون الحاجة إلى تسجيل دخول مسبق.

وفي سياق التدابير الوقائية، تدعو المديرية العامة لأمن نظم المعلومات كافة مديري تكنولوجيا المعلومات في المؤسسات العمومية والخاصة إلى مراجعة وتحديث هذه الإضافات فورا إلى نسخها المؤمنة الأخيرة.

رابط الثغرة : https://www.dgssi.gov.ma/fr/bulletins/vulnerabilites-dans-les-plugins-wordpress-0