Cybersecurity

ثغرة Gravity SMTP تُسرّب مفاتيح API: صدّ أكثر من 17 مليون هجمة على مواقع WordPress

عمر حسن20 June 2026 at 6:21 am5 دقيقة للقراءة

أبرز النقاط

استغلال نشط لثغرة CVE-2026-4020 في إضافة Gravity SMTP يُسرّب مفاتيح API وبيانات اعتماد خدمات البريد
صدّ جدار حماية Wordfence أكثر من 17 مليون محاولة اختراق، مع ذروة بلغت 4 ملايين طلب في يوم واحد
التحديث إلى الإصدار 2.1.5 ضروري فوراً لجميع المواقع المتأثرة

يستغل المهاجمون حالياً ثغرة أمنية خطيرة في إضافة Gravity SMTP لمنصة WordPress، تتيح الوصول غير المصرّح به إلى بيانات حساسة تشمل مفاتيح API وبيانات اعتماد خدمات البريد الإلكتروني. الإضافة مُفعّلة على أكثر من 100 ألف موقع حول العالم، ما يجعل نطاق التهديد واسعاً ويستدعي تحركاً فورياً من مسؤولي المواقع.

17 مليون+

محاولة هجوم صدّها جدار حماية Wordfence

ما طبيعة الثغرة وكيف يستغلها المهاجمون؟

تحمل الثغرة المعرّف CVE-2026-4020 وصُنّفت بدرجة خطورة متوسطة، إلا أن خطورتها الفعلية تتجاوز هذا التصنيف بكثير. تكمن المشكلة في نقطة نهاية REST API مكشوفة داخل الإضافة، حيث تُرجع دالة التحقق من الصلاحيات (permission_callback) القيمة true دائماً. هذا يعني أن أي شخص — دون الحاجة إلى تسجيل دخول — يستطيع إرسال طلب GET بسيط والحصول على تقرير نظام شامل بصيغة JSON.

التقرير المُسرَّب ليس مجرد بيانات تقنية عامة، بل يتضمن معلومات بالغة الحساسية يمكن أن تُمكّن المهاجم من السيطرة الكاملة على البنية التحتية للبريد الإلكتروني وتنفيذ هجمات متقدمة.

مفاتيح API ورموز OAuth لتكاملات البريد الإلكتروني المُهيأة
بيانات اعتماد خدمات بريد خارجية: Amazon SES وGoogle وMailjet وResend وZoho
تفاصيل إعدادات WordPress تشمل الإضافات والقوالب المُثبّتة وإصداراتها
معلومات بيئة الخادم وPHP وتكوين قاعدة البيانات

لماذا يُعدّ التصنيف المتوسط مُضللاً؟

رغم التصنيف الرسمي المتوسط، فإن الثغرة لا تتطلب أي مصادقة للاستغلال — وهذا العامل وحده يرفع خطورتها عملياً. يشير باحثو Wordfence إلى أن كشف بيانات اعتماد خدمات البريد الحيّة يُمكّن المهاجم من انتحال هوية الموقع الضحية أمام أطراف ثالثة، فيما يُسهّل تقرير النظام التفصيلي التخطيط لهجمات لاحقة باستغلال ثغرات معروفة في الإصدارات المُثبّتة.

بعبارة أخرى: الثغرة ليست نهاية الهجوم، بل بدايته. المعلومات المُسرّبة تُحوَّل إلى خريطة طريق للاختراق الكامل.

حجم الهجمات وذروة الاستغلال

أعلنت شركة Defiant المتخصصة في أمن WordPress أن جدار حماية Wordfence صدّ أكثر من 17 مليون محاولة استغلال ضد عملائها المحميين. وبلغ النشاط ذروته يوم 7 يونيو 2026 بصدّ 4 ملايين طلب خبيث في يوم واحد، واستمر النشاط المكثف لعدة أيام تالية.

لوحة تحكم Wordfence تعرض إحصائيات الهجمات المحظورة على مواقع WordPress

نشرت الشركة قائمة بعناوين IP الأكثر نشاطاً في محاولات الاستغلال، ونصحت مسؤولي المواقع بإضافتها إلى قوائم الحظر. كما حددت مؤشراً واضحاً للاختراق: وجود طلبات إلى المسار /wp-json/gravitysmtp/v1/tests/mock-data في سجلات الوصول، خاصةً تلك المتضمنة المعامل ?page=gravitysmtp-settings.

كيف تحمي موقعك الآن؟

أصدرت Rocketgenius الإصدار 2.1.5 في 17 مارس 2026 لمعالجة الثغرة. إذا كنت تستخدم أي إصدار من 2.1.4 أو أقدم، فالتحديث الفوري إلزامي وليس اختيارياً.

حدّث إضافة Gravity SMTP إلى الإصدار 2.1.5 أو أحدث فوراً
راجع سجلات الوصول بحثاً عن طلبات إلى نقطة النهاية المُستغلة
أعد توليد مفاتيح API وبيانات اعتماد خدمات البريد كإجراء احترازي
أضف عناوين IP الخبيثة المنشورة من Wordfence إلى قوائم الحظر
فعّل جدار حماية لتطبيقات الويب (WAF) إن لم يكن مُفعّلاً

ثغرة ثانية في Avada Builder تستدعي الانتباه

في السياق ذاته، أصدرت Wordfence تحذيراً منفصلاً عن ثغرة حرجة في إضافة Avada Builder المُستخدمة على مليون موقع WordPress. الثغرة CVE-2026-8713 تتيح حذف ملفات عشوائية على الخادم دون مصادقة عبر استغلال خلل في معالجة مسارات الملفات، شريطة وجود نموذج Avada مُهيأ لحفظ البيانات في قاعدة البيانات.

حذف ملف wp-config.php مثلاً يُعيد الموقع إلى حالة الإعداد الأولي، ما قد يُفضي إلى سيطرة كاملة وتنفيذ أكواد عن بُعد. عولجت المشكلة في الإصدار 3.15.4، ورغم عدم رصد استغلال نشط بعد، فإن طبيعة الثغرة تجعلها هدفاً مُرجّحاً قريباً.

ℹ️

رأي Logicity

يكشف هذا الحادث عن مشكلة بنيوية في منظومة إضافات WordPress: الاعتماد المفرط على المطورين الأفراد في تأمين نقاط النهاية الحساسة. التصنيف المتوسط للثغرة رغم خطورتها العملية الفادحة يُظهر قصوراً في معايير التصنيف الحالية التي تتجاهل سياق الاستغلال. بالنسبة للمؤسسات في الخليج العربي التي تعتمد WordPress لمنصاتها التجارية، فإن الدرس واضح: لا يكفي التحديث التفاعلي، بل يجب اعتماد مراجعة أمنية دورية للإضافات المُثبّتة وتقليل الاعتماد على إضافات الطرف الثالث للوظائف الحرجة.

الأسئلة الشائعة

هل موقعي معرّض للخطر إذا كنت أستخدم Gravity SMTP؟

نعم، إذا كنت تستخدم الإصدار 2.1.4 أو أقدم. تحقق من إصدار الإضافة في لوحة تحكم WordPress وحدّث فوراً إلى 2.1.5 أو أحدث.

ما البيانات التي قد تكون تسرّبت من موقعي؟

مفاتيح API لخدمات البريد مثل Amazon SES وMailjet، وبيانات اعتماد OAuth، وتفاصيل تقنية عن إعدادات الخادم والإضافات المُثبّتة وإصداراتها.

كيف أعرف إن كان موقعي تعرّض لمحاولة استغلال؟

راجع سجلات الوصول بحثاً عن طلبات إلى المسار /wp-json/gravitysmtp/v1/tests/mock-data خاصةً مع المعامل ?page=gravitysmtp-settings.

هل التحديث وحده كافٍ لتأمين الموقع؟

التحديث يسدّ الثغرة، لكن إذا استُغلت سابقاً فقد تكون بياناتك مُسرّبة. أعد توليد جميع مفاتيح API وبيانات اعتماد خدمات البريد كإجراء احترازي.

ما علاقة ثغرة Avada Builder بثغرة Gravity SMTP؟

لا علاقة تقنية مباشرة، لكنهما ثغرتان في إضافات WordPress شائعة كُشفتا في الفترة ذاتها، ما يؤكد أهمية مراجعة أمن جميع الإضافات المُثبّتة.

ℹ️

هل تحتاج مساعدة في التطبيق؟

إذا كنت تدير موقع WordPress لمؤسستك وتحتاج دعماً في تقييم وضعك الأمني أو تطبيق أفضل الممارسات، تواصل مع فريق Logicity للحصول على استشارة متخصصة في أمن المواقع والتطبيقات.