Kritik Güvenlik Açığı Nedir?
WordPress için geliştirilen King Addons eklentisinde bulunan kritik önemdeki bir güvenlik açığı (CVE-2025–8489), saldırganların kayıt sürecinde yönetici izinleri elde etmesine neden olmaktadır. Bu açık, kullanıcıların web sitesinde herhangi bir rol belirlemesine izin verirken, özellikle de yönetici rolünü seçmelerine olanak tanımasıyla dikkat çekmektedir.
Açığın Yayılma Süreci
Söz konusu tehdit aktivitesi, 31 Ekim’de, açığın kamuya ifşa edilmesinin hemen ardından başlamıştır. Defiant tarafından geliştirilen Wordfence güvenlik tarayıcısı, şu ana kadar 48,400’den fazla saldırı girişimini engellemiştir. King Addons, Elementor adında popüler bir görsel sayfa oluşturucu eklentisi için üçüncü taraf bir eklenti olarak yaklaşık 10,000 web sitesinde kullanılmaktadır.
Açığın Teknik Detayları
Bu açık, araştırmacı Peter Thaleikis tarafından keşfedilmiştir. Eklentinin kayıt işleyicisindeki hata, kayıt olan kişilerin kullanıcı rollerini belirlemelerine olanak tanır, bu da kötü niyetli kullanıcıların yönetici hesabı oluşturmasına yol açabilir. Saldırganlar, admin-ajax.php adlı dosyaya ‘user_role=administrator’ parametresi içeren sahte bir istek göndererek hedef sitelerde sahte yönetici hesapları yaratmaktadır.
Kaynak: Wordfence
Saldırıların Yol Haritası
Araştırmacılar, 9 ve 10 Kasım tarihlerinde saldırı faaliyetlerinde bir pik gözlemlemişlerdir. Bu tarihler arasında en aktif IP adresleri 45.61.157.120 (28,900 girişim) ve 2602:fa59:3:424::1 (16,900 girişim) olarak kaydedilmiştir. Wordfence, web sitesi yöneticilerine saldırgan IP adreslerini log dosyalarında kontrol etmelerini önermektedir. Yeni yönetici hesaplarının varlığı da bir güvenlik ihlalinin açık bir işareti olarak kabul edilmektedir.
Güvenlik Önlemleri ve Güncellemeler
Web sitesi sahiplerinin, 25 Eylül tarihinde yayınlanan King Addons’un 51.1.35 sürümüne geçmeleri önerilmektedir. Bu sürüm, CVE-2025–8489 açığını kapatmaktadır. Ayrıca, Wordfence araştırmacıları, 100,000’den fazla WordPress sitesinde aktif olan Advanced Custom Fields: Extended eklentisinde başka bir kritik güvenlik açığı daha tespit etmişlerdir. Bu açık, kimlik doğrulaması yapılmadan uzaktan kod yürütülmesine olanak tanımaktadır.
Diğer Kritik Güvenlik Açıkları
Bu açık, 0.9.0.5 ile 0.9.1.1 arasındaki sürümleri etkilemektedir ve şu anda CVE-2025-13486 olarak izlenmektedir. Polonya ulusal bilgisayar acil durum müdahale ekibi (CERT) başkanı Marcin Dudek tarafından rapor edilmiştir. Hatanın nedeni, işlevin kullanıcı girdisini kabul etmesi ve ardından bu girdiyi call_user_func_array() ile geçirmesidir. Bu durum, kötü niyetli kullanıcıların sunucuda rastgele kod çalıştırmasını mümkün hale getirmektedir.
Güvenlik açığı, 18 Kasım’da rapor edilmiş ve eklenti geliştiricileri, raporu aldıktan bir gün sonra 0.9.2 sürümü ile düzeltme yayınlamıştır. Açığın sadece hazırlanmış bir istek yoluyla kimlik doğrulaması gerektirmeden kullanılabilmesi, teknik detayların kamuya açık bir şekilde ifşa edilmesinin kötü niyetli faaliyetleri arttırabileceği anlamına gelmektedir.
Sonuç ve Öneriler
Web sitesi sahiplerinin, en kısa sürede en son sürüme geçmeleri veya eklentiyi devre dışı bırakmaları önerilmektedir. Bu tür güvenlik açıkları, web sitelerinin bütünlüğünü tehdit ettiğinden, proaktif önlemler almak her zaman önemlidir. Kullanıcı rolleri ve erişim izinleri üzerinde dikkatli bir kontrol sağlamak, bu tür saldırılara karşı korunmanın en iyi yoludur.
