ثغرات حرجة متعددة في إضافات WordPress (CVE-2026-1743، CVE-2026-1891، CVE-2026-2034) تعرض أكثر من 8 ملايين موقع لتنفيذ التعليمات البرمجية عن بُعد. تواجه الشركات الخاضعة لتنظيم NIS2 إلزامية الإبلاغ خلال 24 ساعة — إليكم خطة العمل.
ثغرة حرجة لتنفيذ التعليمات البرمجية عن بُعد بدون مصادقة في WP Advanced Forms (الإصدارات < 3.4.2) تسمح للمهاجمين بتنفيذ كود PHP عشوائي. أكثر من 3 ملايين تثبيت نشط متأثر.
ثغرة حقن SQL في ElementorPro Widgets (الإصدارات < 4.1.7) تمكّن من استخراج قاعدة البيانات بالكامل. 2.8 مليون موقع في خطر.
تجاوز المصادقة في WooCommerce Payments Gateway (الإصدارات < 6.9.3) يسمح بالتصعيد إلى صلاحيات المسؤول. 2.5 مليون متجر إلكتروني معرض للخطر.
| CVE | الإضافة | CVSS | التثبيتات النشطة | الإصدار المُصحح |
|---|---|---|---|---|
| CVE-2026-1743 | WP Advanced Forms | 9.8 | 3.1M | 3.4.2 |
| CVE-2026-1891 | ElementorPro Widgets | 9.1 | 2.8M | 4.1.7 |
| CVE-2026-2034 | WooCommerce Payments | 9.4 | 2.5M | 6.9.3 |
إجمالاً، تؤثر هذه الثغرات على أكثر من 8 ملايين تثبيت WordPress حول العالم.
بموجب توجيه NIS2 للاتحاد الأوروبي (التوجيه 2022/2555)، تواجه المنظمات المصنفة ككيانات أساسية أو مهمة التزامات صارمة:
تفرض المادة 23 من NIS2 إنذاراً مبكراً خلال 24 ساعة من العلم بحادث كبير.
يجب تقديم إخطار كامل بالحادث إلى CSIRT الوطني خلال 72 ساعة.
wp plugin list --status=active على جميع نسخ WordPressاحصل على تنبيهات الثغرات في الوقت الفعلي ومراقبة الامتثال لـ NIS2 وإحاطات أمنية يومية.
ابدأ التجربة المجانية ←ابقَ يقظاً. — فريق أمن KENSAI