تتعرض إضافة Breeze Cache الشهيرة على منصة WordPress لثغرة أمنية حرجة للغاية، تسمح للمهاجمين برفع ملفات عشوائية على خوادم المواقع دون الحاجة إلى أي كلمة مرور أو تحقق من الهوية. وتضع هذه الثغرة ملايين المواقع حول العالم في دائرة خطر مباشر.
بالإضافة إلى ذلك، تكشف البيانات أن المشكلة لا تمثل خللًا بسيطًا، بل تهديدًا واسع النطاق قد يؤثر على البنية الأمنية لمئات الآلاف من المواقع النشطة.
ما هي خطورة الثغرة الأمنية؟
تحمل الثغرة رقم التعريف الأمني CVE-2026-3844، وقد صنفها خبراء الأمن بدرجة خطورة تصل إلى 9.8 من 10، وهي درجة قريبة من الحد الأقصى.
علاوة على ذلك، سجلت شركة Wordfence أكثر من 170 محاولة استغلال فعلي لهذه الثغرة، مما يؤكد أن المهاجمين بدأوا بالفعل في استهداف المواقع الضعيفة.
انتشار إضافة Breeze Cache
تستخدم إضافة Breeze Cache من شركة Cloudways لتحسين أداء مواقع ووردبريس من خلال:
- تخزين نسخ مؤقتة من الصفحات
- تحسين سرعة التحميل
- تقليل استهلاك قاعدة البيانات
وبسبب هذه الميزات، تم تثبيت الإضافة على أكثر من 400 ألف موقع نشط حول العالم، مما يزيد من حجم الخطر بشكل كبير.
كيف اكتشف الباحثون الثغرة؟
اكتشف الباحث الأمني Hung Nguyen (bashu) هذه الثغرة، حيث قام بتحليل سلوك الإضافة ووجد خللًا خطيرًا في آلية معالجة الملفات.
وبعد الفحص، صنف خبراء الأمن المشكلة على أنها ثغرة حرجة بسبب إمكانية استغلالها في تنفيذ هجمات مباشرة على الخوادم.
سبب الثغرة: ضعف التحقق من الملفات
يكمن الخلل الأساسي في دالة تُعرف باسم fetch_gravatar_from_remote، حيث لا تتحقق الإضافة بشكل صحيح من نوع الملفات القادمة من مصادر خارجية.
وبالتالي، تسمح الإضافة بتحميل ملفات دون التأكد مما إذا كانت صورًا حقيقية أو ملفات خبيثة.
بمعنى آخر، تتعامل الإضافة مع أي ملف على أنه آمن، وهو ما يفتح الباب أمام الهجمات.
كيف يستغل المخترقون الثغرة؟
يستغل المهاجمون هذه الثغرة بطريقة مباشرة وخطيرة:
- يستهدفون مواقع تستخدم إصدارًا قديمًا من Breeze Cache
- يفعّلون ميزة “استضافة الملفات محليًا” إذا كانت مفعلة
- يرفعون ملف PHP خبيث مموه كصورة
- يتم تخزين الملف على الخادم دون اعتراض
- يحصل المهاجم على صلاحيات تنفيذ أوامر على الموقع
وبالتالي، يتحول الموقع إلى هدف مخترق بالكامل يمكن التحكم فيه عن بُعد.
الميزة الاختيارية التي تزيد الخطر
تعتمد عملية الاستغلال الكاملة على ميزة اختيارية تُسمى:
Host Files Locally – Gravatars
ورغم أنها غير مفعلة افتراضيًا، إلا أن بعض المواقع قد تكون فعّلتها دون إدراك المخاطر، مما يزيد من احتمالية الاختراق.
ماذا يحدث بعد الاختراق؟
عند نجاح الهجوم، يحصل المخترق على قدرة تنفيذ أوامر مباشرة على الخادم، مما يسمح له بـ:
- سرقة بيانات الموقع
- إضافة أبواب خلفية (Backdoors)
- تعديل محتوى الصفحات
- استخدام الموقع في هجمات أخرى
وبذلك، يفقد صاحب الموقع السيطرة الكاملة على نظامه.
الإصدارات المتأثرة والتحديث الأمني
تؤثر الثغرة على جميع إصدارات Breeze Cache حتى 2.4.4. وقد أصدرت الشركة تحديثًا في الإصدار 2.4.5 لمعالجة المشكلة.
علاوة على ذلك، تم تسجيل أكثر من 138 ألف تحميل للتحديث الجديد، لكن هذا العدد لا يزال غير كافٍ لضمان حماية جميع المواقع.
كيف تحمي موقعك فورًا؟
ينصح خبراء الأمن باتباع الخطوات التالية فورًا:
- تحديث إضافة Breeze Cache إلى الإصدار 2.4.5
- تعطيل الإضافة مؤقتًا إذا تعذر التحديث
- إيقاف ميزة Host Files Locally – Gravatars
- مراجعة سجلات الخادم بحثًا عن نشاط غير طبيعي
وبالتالي، تقلل هذه الخطوات من احتمالية التعرض للاختراق.
علامات تشير إلى وجود اختراق
يمكن لأصحاب المواقع التحقق من وجود اختراق من خلال:
- ملفات PHP غير معروفة على الخادم
- حسابات مسؤول جديدة وغريبة
- مهام مجدولة غير مبررة
- طلبات غير طبيعية في سجلات السيرفر
وفي حال ظهور أي من هذه العلامات، يجب التدخل فورًا.
ماذا تفعل إذا تم اختراق موقعك؟
إذا حدث اختراق بالفعل، يجب تنفيذ الإجراءات التالية:
- تغيير جميع كلمات المرور
- حذف الملفات الخبيثة بالكامل
- تحديث الإضافة إلى النسخة الآمنة
- مراقبة الموقع لمدة لا تقل عن 30 يومًا
وفي بعض الحالات، قد تحتاج إلى متخصص أمن سيبراني لاستعادة السيطرة الكاملة.
خاتمة
تمثل ثغرة Breeze Cache خطرًا حقيقيًا على مئات الآلاف من مواقع ووردبريس حول العالم، خصوصًا مع إمكانية تنفيذ أوامر عن بُعد دون أي صلاحيات.
وبالتالي، يصبح التحديث السريع واتخاذ إجراءات الحماية ضرورة عاجلة وليس خيارًا، لأن التأخير قد يؤدي إلى فقدان كامل السيطرة على الموقع.
