Siber Güvenlik

900K Kurulumu Olan WordPress Eklentisi Acil Kritik RCE Açığına Sahip

teknomers
teknomers

Giriş

WPvivid Yedekleme ve Göç eklentisindeki kritik bir güvenlik açığı, 900.000’den fazla web sitesini etkileyerek uzaktan kod çalıştırma (RCE) imkanı sunmaktadır. Bu durum, saldırganların kimlik doğrulaması olmadan rastgele dosyalar yükleyerek tam kontrol sağlamasına neden olabilir.

Contents

Saldırı Nasıl Çalışıyor?

Güvenlik açığı, CVE-2026-1357 kodu ile takip edilmektedir ve 9.8 şiddet puanı almıştır. Eklentinin 0.9.123 ve altı tüm versiyonlarını etkilemektedir. Araştırmalar, yalnızca “başka bir siteden yedek al” seçeneği etkin olan sitelerin kritik bir risk altında olduğunu göstermektedir. Ayrıca, saldırganların 24 saatlik bir istismar penceresi bulunmaktadır; bu süre, diğer sitelerin yedek dosyaları gönderebilmesi için gereken anahtarın geçerlilik süresidir.

Etkilenen Sistemler

  • WPvivid Backup & Migration eklentisinin 0.9.123 ve altı versiyonları
  • WordPress siteleri, özellikle “başka bir siteden yedek al” seçeneği etkinleştirildiğinde

Güvenlik Açığının İçsel Nedeni

Araştırmacı Lucas Montes (NiRoX), açığı 12 Ocak’ta Defiant’a bildirmiştir. Problemin kök nedeni, RSA şifrelemesindeki hatalı hata yönetimi ve yol temizlemesinin olmamasıdır. Özel olarak, openssl_private_decrypt() fonksiyonu başarısız olduğunda eklenti, yürütmeyi durdurmamakta ve yanlış sonucu (false) AES (Rijndael) rutinine iletmektedir. Kriptografik kütüphane, bunu null bayt dizesi olarak değerlendirmekte ve böylece saldırganların kötü niyetli yükleri oluşturmasına imkan tanıyan öngörülebilir bir şifreleme anahtarı elde etmelerini sağlamaktadır.

Çözüm ve Korunma

  • CVE-2026-1357 için bir güvenlik güncellemesi, 28 Ocak’ta 0.9.124 sürümünde yayınlanmıştır.
  • Güncellemeler:
    • RSA şifrelemesi başarısız olduğunda yürütmeyi durdurma
    • Yüklenen dosya adlarının temizlenmesi
    • Sadece uygun yedek dosya türlerine (ZIP, GZ, TAR, SQL) yükleme kısıtlaması

Sonuç

WPvivid Backup & Migration eklentisini kullanan tüm kullanıcılar, bu açığın taşıdığı riskleri göz önünde bulundurarak derhal 0.9.124 sürümüne güncellemelerini gerçekleştirmelidir. Ayrıca, ihtiyaç duymadıkça “başka bir siteden yedek al” seçeneğini devre dışı bırakmaları şiddetle tavsiye edilmektedir. Güvenliğiniz için web sitenizde gerekli önlemleri almayı unutmayın.

Çinli çip üreticisi, GPU’lardan %90 daha ucuz olan 14nm yapay zeka işlemcisini piyasaya sürüyor – 140 dolarlık çipin eski düğümü, ABD yaptırımlarını atlatıyor
6,94 inç ve 2,14 inç diyagonal, 66 W şarjlı ve yalnızca 6,88 mm kalınlığa sahip ekranlar. Bütçe kapaklı Huawei Nova Flip’in özellikleri açıklandı
Siber Güvenlik Açıkları ABD Dışişleri Bakanlığı’nın GAO Raporunda Uyardı
PlayStation’a özel bölümlerden biri olan Uncharted nihayet PC’de mevcut. Geliştiriciler orijinal üçlemeyi taşımamaya karar verdi
Eufy’nin 3’ü 1 arada Robot Süpürgesi, İhtiyacınız Olan Tek Süpürge Olmak İstiyor
ETİKETLENDİ:
Bu Makaleyi Paylaş
Önceki Makale Madagaskar’ın ikinci şehri, bir tayfun nedeniyle «%75 oranında yok edildi»
Sonraki Makale Rusya’nın Ukrayna Drone’larını Durdurmak İçin Çelik İpli Ventilatör Stratejisi

Sanal Medya

Son Eklenenler

Yeni Fikirler ve Beklentilerle God Of War Serisi İlerliyor
Oyun
Acil: 900’den Fazla ABD Akaryakıt İstasyonu Tehlikede!
Siber Güvenlik
Gizli Kalmış 5 Laravel 13 Özelliği: Bugün Kullanmayı Değebilir
Yazılım
NASA Uzay İstasyonu Astronotlarını SpaceX’in Dragon’u ile Korudu
Genel
Yeni akıllı tartımın GLP-1 kullanıcılarına özel olduğunu mu düşünüyorsun?
Liste
DOGE Çocukları, Yeni Girişimleri için VC Finansmanı Aldı!
Genel