Joomla İçin Kritik Güvenlik Açığı
ABD Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA), Widget Factory’nin Joomla İçerik Editörü (JCE) için maksimum şiddetteki bir güvenlik açığını, aktif istismar kanıtlarıyla birlikte, Bilinen İstismar Edilen Güvenlik Açıkları (KEV) kataloguna eklemiştir. Bu açığın önemi, kullanıcıların PHP kodu yükleyip çalıştırmalarına imkan tanımasıdır.
Saldırı Nasıl Çalışıyor?
Açık, CVE-2026-48907 (CVSS puanı: 10.0) olarak izlenmekte ve yanlış erişim kontrolü nedeniyle herhangi bir kodun çalıştırılmasına olanak tanımaktadır. CISA’nın belirttiğine göre, “Widget Factory Joomla İçerik Editörü, kimliği doğrulanmamış kullanıcılar için yeni editör profilleri oluşturulmasına izin veren bir erişim kontrolü zayıflığı içermektedir.”
Bu açık, JCE eklentisinin Joomla üzerindeki yönlendirmesiyle ilgilidir ve kötü niyetli bir aktörün kimliği doğrulanmamış kullanıcılar için yeni editör profilleri oluşturmasına olanak sağlar. Dolayısıyla, PHP kodunun yüklenmesi ve çalıştırılması için zemin hazırlamaktadır.
Etkilenen Sistemler
Açık, JCE’nin 1.0.0 ile 2.9.99.4 versiyonları arasında yer alan sistemleri etkilemektedir. 3 Haziran 2026 tarihinde yayımlanan versiyon 2.9.99.5 ile bu açık kapatılmıştır. Widget Factory, yayımladığı notlarda “yetersiz erişim kontrollerinin kimliği doğrulanmamış kullanıcıların editör profilleri yüklemelerine izin verdiğini” belirtmiştir.
Çözüm ve Korunma
Federal Sivil Yürütme Dairesi (FCEB) ajansları, bu açığın kapatılması için 19 Haziran 2026 tarihine kadar güncellemeleri uygulamakla yükümlüdür. Sistem yöneticilerinin acilen aşağıdaki adımları atması önerilmektedir:
- JCE’nin en son sürümüne güncelleme yapın: 2.9.99.5 ve üzeri sürümler.
- Güvenlik duvarı ve kullanıcı erişim kontrolünü gözden geçirin: Yetersiz erişim kontrolü önlemleri alın.
- Günlükleri izleyin: Şüpheli aktiviteleri takip edin ve müdahalede bulunun.
Durum Gelişmeleri ve Diğer Tehditler
Bu açıklama, benzer bir tedarik zinciri saldırısının 1 milyondan fazla WordPress sitesini hedef aldığı bilgisiyle de ortaya çıkmıştır. Saldırganlar, OptinMonster, TrustPulse ve PushEngage eklentilerinde zararlı JavaScript ekleyerek, yöneticiyi bekleyen arka kapı hesapları oluşturmuşlardır.
Başka bir kampanyada, bilinmeyen saldırganlar WordPress sitesinin bir eklentisi aracılığıyla geri dönüş yaparak zararlı kod yüklemiştir. Saldırganlar, sitenin erişim kontrolünü aşarak PHP web shell’leri kurma yeteneğine sahip olmuşlar ve böylelikle sunucunun dosya sistemi üzerinde sınırsız okuma/yazma erişimi elde etmişlerdir.
Tüm bu gelişmeler, sistem güvenliği ve siber tehditler karşısında sürekli olarak güncellenmek ve önlem almak gerektiğini vurgulamaktadır. Okuyucuların, tüm sistemlerindeki güvenlik açığı güncellemelerini ve denetimlerini acilen gerçekleştirmeleri önemlidir.
