Giriş
WordPress için kullanılan Avada Builder eklentisinde bulunan iki güvenlik açığı, yaklaşık bir milyon aktif kurulumun hedef alınmasına neden olabilir. Bu açıklar, kötü niyetli kişilerin sunucudaki hassas bilgilere erişmesine yol açmaktadır.
Saldırı Nasıl Çalışıyor?
İlk güvenlik açığı, CVE-2026-4782 kodu ile izlenmekte ve eklentinin 3.15.2 versiyonuna kadar olan tüm sürümlerinde, en az abone seviyesine sahip doğrulanmış kullanıcılar tarafından kullanılabilir. Bu açık, sunucudaki herhangi bir dosyanın içeriğini okuma yetkisi sağlar.
İkinci açık ise CVE-2026-4798 olarak adlandırılmakta ve kimlik doğrulama olmadan SQL enjeksiyonu yapılmasına olanak tanımaktadır. Ancak bu açık, yalnızca WooCommerce e-ticaret eklentisi etkinleştirildiğinde ve sonra devre dışı bırakıldığında kullanılabilir.
Etkilenen Sistemler
Avada Builder, Avada WordPress teması için bir sürükle-bırak web sayfası oluşturucu eklentisidir ve kod yazmadan web sitesi düzeni, içerik bölümleri ve tasarım unsurları oluşturmanıza imkan tanır. Bu iki açık, aşağıdaki sürümlerde etkili olmaktadır:
- CVE-2026-4782: 3.15.2 ve öncesi sürümler
- CVE-2026-4798: 3.15.1 ve öncesi sürümler
Güvenlik araştırmacısı Rafie Muhammad tarafından tespit edilen bu açıklar, Wordfence Bug Bounty Programı üzerinden rapor edilmiştir.
Çözüm ve Korunma
Wordfence, eklentinin kısa kod işleme işlevselliği ve custom_svg parametresinden dolayı keyfi dosya okumasının mümkün olduğunu açıklıyor. Bu sorun, dosya türlerinin veya kaynaklarının yeterince doğrulanmaması nedeniyle ortaya çıkmaktadır. Özellikle wp-config.php dosyasına erişim, veritabanı kimlik bilgileri ve kriptografik anahtarlar gibi hassas bilgilere ulaşılmasına yol açabilir.
Orta seviye bir tehdit olarak değerlendirilen CVE-2026-4782, kullanıcı kaydı olan birçok WordPress sitesinde bir engel oluşturmamaktadır. Diğer yandan, CVE-2026-4798 açığı, kullanıcı kontrolündeki bir parametrenin SQL sorgusuna doğru yerleştirilmemesi sebebiyle oluşmaktadır ve saldırganların site veritabanından şifre hash’leri gibi hassas bilgileri çıkarmasına olanak tanımaktadır.
Bu iki açık, 21 Mart’ta Wordfence’a bildirilmiş ve 24 Mart’ta Avada Builder yayıncısına rapor edilmiştir. Kısmi düzeltme içeren 3.15.2 versiyonu 13 Nisan’da, tam düzeltme içeren 3.15.3 versiyonu ise 12 Mayıs’ta yayımlanmıştır.
Sonuç
Etkilenen web sitesi sahipleri ve yöneticileri, Avada Builder eklentisinin en son sürümü olan 3.15.3 ‘e güncelleme yapmaları gerekmektedir. Ayrıca, gerektiğinde güvenlik duvarı ayarlarını kontrol etmeleri ve potansiyel tehditlere karşı proaktif bir yaklaşım benimsemeleri önemlidir.
