في نشرتين إنذاريتين بتاريخ 29 يوليوز 2025، دقّت المديرية العامة لأمن نظم المعلومات ناقوس الخطر بشأن ثغرات أمنية وصفَتها بالمهمة في كل من نظام إدارة المحتوى WordPress ولغة البرمجة Python. هذه الثغرات تشكل تهديدا مباشرا للمواقع والخوادم المستعملة على نطاق واسع في المغرب، سواء في القطاعين العام أو الخاص.
النشرة الأولى رقم 56052907/25 تتعلق بثغرات في إضافتين شهيرتين على WordPress: Post SMTP (قبل النسخة 3.3.0) وHT Contact Form for Elementor & Gutenberg (قبل النسخة 2.2.2). توثق الثغرات بأربعة معرفات CVE (من بينها CVE-2025-7340 وCVE-2025-24000)، وتُمكّن المهاجم من تنفيذ تعليمات عن بُعد، حذف أو رفع ملفات، والوصول إلى حساب الأدمن. هذا النوع من الهجمات قد يؤدي إلى اختراق تام للموقع، وتسريب أو تعديل بيانات حساسة.
أما النشرة الثانية رقم 506062907/25، فتتعلق بثغرة تمس مكتبة tarfile المدمجة في لغة Python (النسخ ما قبل 3.14.0)، مسجلة تحت CVE-2025-8194. استغلالها يُمكن أن يؤدي إلى “حرمان من الخدمة” (DoS)، ما يجعل الأنظمة تتوقف عن العمل أو تستنزف مواردها. ورغم أن تأثيرها أقل تدميرًا من ثغرات WordPress، إلا أنها تشكل تهديدًا صامتًا في بيئات التطوير والمؤسسات الأكاديمية والصناعية التي تستخدم Python على نطاق واسع.
المديرية دعت إلى التحديث الفوري للمكونات المتأثرة، وتفعيل آليات المراقبة الداخلية، والرجوع إلى النشرات الأمنية الرسمية لكل من WordPress وPython. في ظل التصعيد السيبراني العالمي، تكرّس هذه التحذيرات الحاجة الملحّة إلى يقظة رقمية دائمة، وتحديثات أمنية منتظمة لحماية الفضاء السيبراني الوطني.
