Netcrook Logo
👤 LOGICFALCON
🗓️ 23 Mar 2026   🌍 North America

مفتوح على مصراعيه: استغلال Craft CMS يطلق متسللين صامتين للشفرة

ثغرة حرجة في Craft CMS تغذي هجمات جارية، ما يدفع إلى تحذيرات عاجلة وفرض تحديثات إلزامية عبر الويب.

بدأ الأمر بهدوء: بضعة إدخالات غريبة في السجلات، وارتفاع غامض في حركة الشبكة الصادرة، ثم الإدراك المرعب - كانت شفرة مجهولة تعمل على خوادم يُفترض أنها آمنة. هذه ليست حبكة فيلم إثارة سيبراني، بل الواقع المقلق الذي تواجهه مؤسسات حول العالم بينما تمزق ثغرة يوم-صفر تثبيتات Craft CMS. وقد أطلقت وكالة الأمن السيبراني وأمن البنية التحتية الأمريكية (CISA) الآن صافرة الإنذار، مؤكدة أن هذه الثغرة ليست نظرية فحسب - بل يجري استغلالها في البرية، الآن.

أصبح Craft CMS، وهو نظام إدارة محتوى شائع يشغّل عددًا لا يُحصى من المواقع، نقطة الصفر لموجة جديدة من الهجمات السيبرانية. الجاني؟ CVE-2025-32432 - ثغرة حقن شفرة بالغة الخطورة نالت أعلى درجة تهديد ممكنة. وقد كُشفت أثناء تحقيق للاستجابة لحادث، وتتيح للمهاجمين تنفيذ شفرة عشوائية دون مصادقة، بما يعني فعليًا تسليم مفاتيح المملكة.

يكمن جوهر الاستغلال تقنيًا في كيفية تعامل Craft CMS مع تحويلات الأصول. وبسبب ضعف التحكم في توليد الشفرة، يمكن للمهاجمين حقن كائن PHP مُصاغ خصيصًا في ملف جلسة باستخدام عنوان URL مُتلاعب به. وبالاستفادة من سلسلة الأدوات (gadget chain) في إطار Yii، يستهدفون مكوّن PhpManager، ما يؤدي في النهاية إلى دفع التطبيق لإلغاء تسلسل الشفرة الخبيثة وتنفيذها. سلسلة الهجوم بأكملها بسيطة على نحو مخيف، ولا تتطلب معرفة داخلية أو بيانات اعتماد صالحة - فقط نقطة نهاية ضعيفة وقليلًا من الدراية.

ورغم أنه لا يزال غير واضح ما إذا كانت عصابات برامج الفدية تستغل هذه الثغرة بنشاط للابتزاز، فإن مسار ما قبل المصادقة وإثباتات المفهوم العلنية يجعلانها مغناطيسًا للمجرمين السيبرانيين. ويحذر خبراء الأمن من أن أنشطة ما بعد الاستغلال - مثل نشر webshells أو بدء reverse shells - مرجحة، وعلى المدافعين أن يكونوا في حالة تأهب قصوى لرصد مؤشرات الاختراق.

وقد استجاب المطورون بإصدار تحديثات لجميع الإصدارات المتأثرة، تحديدًا Craft CMS 3.9.15 و4.14.15 و5.6.17. كما تعزز هذه التحديثات الدفاعات ضد ثغرة ذات صلة، CVE-2023-41892. إن إدراج CISA لهذا الخلل في كتالوج KEV يعني أن الوكالات الفدرالية تخضع لأوامر صارمة لتحديث الأنظمة الضعيفة أو تعطيلها دون تأخير. أما بالنسبة للجميع، فالرسالة لا تقل إلحاحًا: حدّث الآن، أو خاطر بالانضمام إلى القائمة المتنامية من الضحايا.

إن ملحمة Craft CMS تذكير صارخ بأن حتى المنصات الموثوقة قد تؤوي ثغرات مدمرة. ومع ازدياد حيلة المهاجمين يومًا بعد يوم، تبقى اليقظة والاستجابة السريعة هما السبيلين الوحيدين لإبقاء الذئاب الرقمية على مسافة. الساعة تدق - هل ستتحرك المؤسسات بالسرعة الكافية؟

WIKICROOK

  • حقن الشفرة: حقن الشفرة هو هجوم يُدخل فيه القراصنة شفرة خبيثة إلى برنامج، ما يتيح لهم التحكم بالنظام المستهدف أو اختراقه.
  • إلغاء التسلسل: إلغاء التسلسل يحوّل البيانات إلى كائنات برمجية قابلة للاستخدام. وإذا لم يُنفّذ بأمان، فقد يتيح للمهاجمين حقن تعليمات ضارة داخل التطبيقات.
  • تنفيذ الشفرة عن بُعد (RCE): تنفيذ الشفرة عن بُعد (RCE) هو عندما يشغّل المهاجم شفرته الخاصة على نظام الضحية، وغالبًا ما يؤدي ذلك إلى سيطرة كاملة على ذلك النظام أو اختراقه.
  • ويب شِل (Webshell): الويب شِل برنامج مخفي يرفعه القراصنة إلى موقع مخترق، يمنحهم تحكمًا عن بُعد ووصولًا غير مصرح به كأنه باب خلفي سري.
  • درجة CVSS: تُقيّم درجة CVSS شدة الثغرات الأمنية من 0 إلى 10، حيث تشير الأرقام الأعلى إلى مخاطر أكبر وإلحاح أعلى للاستجابة.
Craft CMS Code Injection Cybersecurity
LOGICFALCON LOGICFALCON
Log Intelligence Investigator
← Back to news