Giriş
Son zamanlarda, WP Maps Pro adlı WordPress eklentisindeki kritik bir güvenlik açığı, kötü niyetli aktörlerin etkilenen sitelerde yönetici hesapları oluşturmalarına olanak tanımaktadır. Bu durum, kullanıcıların sitelerinin kontrolünü kaybetmelerine neden olabilir, bu yüzden sorun hızlı bir şekilde ele alınmalıdır.
Saldırı Nasıl Çalışıyor?
Güvenlik açığı, CVE-2026-8732 olarak bilinir ve CVSS puanı 9.8‘dir. İlgili durum, kimlik doğrulaması yapılmamış saldırganların bir WordPress kullanıcısı oluşturarak yönetici izinlerine sahip olmalarına imkân sağlar. Bu süreç, “geçici erişim” özelliği ile basit bir destek girişimi sırasında yanlışlıkla açığa çıkmaktadır.
- Açığın kök nedeni, destek personelinin müşteri sitelerinde sorun giderme sırasında giriş yapmasını sağlayan bir özelliktir.
- Bu özellik, yeterli kontrol olmaksızın kimlik doğrulaması yapılmamış kullanıcıların wpgmp_temp_access_support() fonksiyonunu çağırabilmesine neden olmaktadır.
- Ayrıca, wpgmp_temp_access_ajax AJAX eylemi, yalnızca nonce kontrolüyle korunmaktadır, bu da etkinliği azaltmaktadır.
Etkilenen Sistemler
Bu güvenlik açığı, WP Maps Pro eklentisinin 6.1.0 ve daha önceki tüm sürümlerine etki etmektedir. Eklenti, kullanıcıların özelleştirilebilir Google Haritaları eklemelerine olanak sağlar ve 15.000’in üzerinde satış yapmıştır.
Çözüm ve Korunma
Eklentinin geliştiricileri, sorunu çözmek amacıyla 6.1.1 sürümünü yayımlamıştır. Bu güncelleme, yalnızca kimlik doğrulaması yapılmış kullanıcıların bu uç noktaya erişmesine izin vererek açığı kapatmaktadır.
- Eklentinin en son sürümüne (6.1.1) güncellemeleri yapınız.
- Site erişim kontrollerini gözden geçirin ve sıkılaştırın.
- Güvenlik izleme sistemleri kullanarak potansiyel saldırıları takip edin.
Sonuç
Site sahipleri, en kısa sürede WP Maps Pro’yu güncelleyerek bu kritik güvenlik açığından korunmalıdır. Unutmayın, güncellemeler düzenli olarak yapılmadığında, siteniz çeşitli saldırılara maruz kalabilir. Hayati önem taşıyan bu adımı atmayı ihmal etmeyin.
