Giriş
Siber güvenlik alanında son günlerde dikkat çeken bir olay, Burst Statistics isimli WordPress eklentisinde tespit edilen kritik bir kimlik doğrulama atlama açığıdır. Bu açık, saldırganların web sitelerine yönetici düzeyinde erişim elde etmelerine olanak tanıması nedeniyle son derece önemlidir.
Saldırı Nasıl Çalışıyor?
Açık, CVE-2026-8181 koduyla takip edilmektedir ve 23 Nisan 2026 tarihinde eklentinin 3.4.0 versiyonuyla birlikte tanıtılmıştır. Sorunlu kod, eklentinin 3.4.1 sürümünde de bulunmaktadır. Wordfence tarafından 8 Mayıs 2026’da keşfedilen bu açık, kimlik doğrulama gerektirmeyen saldırganların mevcut yönetici kullanıcıları taklit etmesine ve hatta sahte yönetici hesapları oluşturmasına olanak tanımaktadır.
Wordfence bu açığı, REST API istekleri sırasında bilinen bir yönetici kullanıcı adını bilen saldırganların, herhangi bir yanlış şifre sağladıklarında bu kullanıcı ile tam olarak taklit yapabileceklerini açıkça belirtmektedir. Bu durum, wp_authenticate_application_password() fonksiyonunun yanlış yorumlanmasından kaynaklanmaktadır. Özellikle, bir ‘WP_Error’ değeri, başarılı bir kimlik doğrulama olarak kabul edilmektedir. Ancak, WordPress bazı durumlarda ‘null’ döndürerek, yanlışlıkla kimlik doğrulaması başarılı gibi algılanmaktadır. Bunun sonucunda, saldırganın kullanıcı adı kullanılarak wp_set_current_user() fonksiyonu çağrılmakta ve saldırgan, REST API isteği süresince bu kullanıcının kimliğine bürünmektedir.
Etkilenen Sistemler
Burst Statistics eklentisi, 200.000’den fazla WordPress sitesinde etkin durumdadır ve Google Analytics’e hafif bir alternatif olarak sunulmaktadır. Eklentiyi kullanan siteler, yönetici kullanıcı adlarının blog gönderilerinde, yorumlarda veya kamuya açık API taleplerinde görünmesi nedeniyle saldırganların bu bilgilere kolayca ulaşabilmesine olanak tanımaktadır. Ayrıca, saldırganlar bu kullanıcı adlarını tahmin etmek için brute-force tekniklerini de kullanabilmektedir.
Yönetici düzeyinde erişim, saldırganların özel veri tabanlarına ulaşmasını, arka kapılar yerleştirmesini, ziyaretçileri zararlı sitelere yönlendirmesini, zararlı yazılımlar dağıtmasını ve sahte yönetici kullanıcıları oluşturmasını sağlamaktadır.
Çözüm ve Korunma
Wordfence, bu açığın saldırganlar tarafından hedef alınmasının beklendiğini ve bu nedenle kullanıcıların en kısa sürede eklentinin en güncel versiyonuna geçmelerinin kritik öneme sahip olduğunu vurgulamaktadır. Eklentinin 3.4.2 versiyonu, 12 Mayıs 2026’da yayımlanmış olup, bu versiyona güncelleme yapmak veya eklentiyi tamamen devre dışı bırakmak önerilmektedir. Burst Statistics’in 3.4.2 sürümünden itibaren 85.000 indirme yapılmış, bu da yaklaşık 115.000 sitenin yönetici ele geçirme saldırılarına maruz kalma riskinin devam ettiği anlamına gelmektedir.
Aksiyon
Eğer Burst Statistics eklentisini kullanıyorsanız, derhal 3.4.2 sürümüne güncelleyin veya eklentiyi devre dışı bırakın. Aksi takdirde, web siteniz ciddi bir güvenlik tehdidiyle karşı karşıya kalabilir. Güvenlik önlemlerini almalısınız!
