Teknomers | Dünyadan Güncel Teknoloji | Oyun | Müzik | Film | Spor HaberleriTeknomers | Dünyadan Güncel Teknoloji | Oyun | Müzik | Film | Spor HaberleriTeknomers | Dünyadan Güncel Teknoloji | Oyun | Müzik | Film | Spor Haberleri
Yazı Tipi BoyutlandırıcıAa
  • Anasayfa
  • Teknoloji
    • Siber Güvenlik
    • Yapay Zeka
    • Donanım
    • Bilim
  • Yazılım
  • Savunma & İstihbarat
  • Oyun
  • Yaşam
    • Finans
    • Sinema
    • Dünyadan Haberler
  • İş Birliği
Okuma: Elementor Eklentisinde Kritik Güvenlik Açığı Saldırılara Neden Oluyor
Paylaş
Yazı Tipi BoyutlandırıcıAa
Teknomers | Dünyadan Güncel Teknoloji | Oyun | Müzik | Film | Spor HaberleriTeknomers | Dünyadan Güncel Teknoloji | Oyun | Müzik | Film | Spor Haberleri
Ara
Bizi Takip Et
  • Hakkımızda
  • Gizlilik politikası
  • Tanıtım Yazısı ve Backlink Hizmeti
© 2026 Teknomers. All Rights Reserved.

Anasayfa » Elementor Eklentisinde Kritik Güvenlik Açığı Saldırılara Neden Oluyor

Siber Güvenlik

Elementor Eklentisinde Kritik Güvenlik Açığı Saldırılara Neden Oluyor

teknomers
Son güncelleme: 4 Aralık 2025 00:39
teknomers
Paylaş
Paylaş

Kritik Güvenlik Açığı Nedir?

WordPress için geliştirilen King Addons eklentisinde bulunan kritik önemdeki bir güvenlik açığı (CVE-2025–8489), saldırganların kayıt sürecinde yönetici izinleri elde etmesine neden olmaktadır. Bu açık, kullanıcıların web sitesinde herhangi bir rol belirlemesine izin verirken, özellikle de yönetici rolünü seçmelerine olanak tanımasıyla dikkat çekmektedir.

Açığın Yayılma Süreci

Söz konusu tehdit aktivitesi, 31 Ekim’de, açığın kamuya ifşa edilmesinin hemen ardından başlamıştır. Defiant tarafından geliştirilen Wordfence güvenlik tarayıcısı, şu ana kadar 48,400’den fazla saldırı girişimini engellemiştir. King Addons, Elementor adında popüler bir görsel sayfa oluşturucu eklentisi için üçüncü taraf bir eklenti olarak yaklaşık 10,000 web sitesinde kullanılmaktadır.

Açığın Teknik Detayları

Bu açık, araştırmacı Peter Thaleikis tarafından keşfedilmiştir. Eklentinin kayıt işleyicisindeki hata, kayıt olan kişilerin kullanıcı rollerini belirlemelerine olanak tanır, bu da kötü niyetli kullanıcıların yönetici hesabı oluşturmasına yol açabilir. Saldırganlar, admin-ajax.php adlı dosyaya ‘user_role=administrator’ parametresi içeren sahte bir istek göndererek hedef sitelerde sahte yönetici hesapları yaratmaktadır.

Kötü Amaçlı İstek
Kötü Amaçlı İstek
Kaynak: Wordfence

Saldırıların Yol Haritası

Araştırmacılar, 9 ve 10 Kasım tarihlerinde saldırı faaliyetlerinde bir pik gözlemlemişlerdir. Bu tarihler arasında en aktif IP adresleri 45.61.157.120 (28,900 girişim) ve 2602:fa59:3:424::1 (16,900 girişim) olarak kaydedilmiştir. Wordfence, web sitesi yöneticilerine saldırgan IP adreslerini log dosyalarında kontrol etmelerini önermektedir. Yeni yönetici hesaplarının varlığı da bir güvenlik ihlalinin açık bir işareti olarak kabul edilmektedir.

Güvenlik Önlemleri ve Güncellemeler

Web sitesi sahiplerinin, 25 Eylül tarihinde yayınlanan King Addons’un 51.1.35 sürümüne geçmeleri önerilmektedir. Bu sürüm, CVE-2025–8489 açığını kapatmaktadır. Ayrıca, Wordfence araştırmacıları, 100,000’den fazla WordPress sitesinde aktif olan Advanced Custom Fields: Extended eklentisinde başka bir kritik güvenlik açığı daha tespit etmişlerdir. Bu açık, kimlik doğrulaması yapılmadan uzaktan kod yürütülmesine olanak tanımaktadır.

Diğer Kritik Güvenlik Açıkları

Bu açık, 0.9.0.5 ile 0.9.1.1 arasındaki sürümleri etkilemektedir ve şu anda CVE-2025-13486 olarak izlenmektedir. Polonya ulusal bilgisayar acil durum müdahale ekibi (CERT) başkanı Marcin Dudek tarafından rapor edilmiştir. Hatanın nedeni, işlevin kullanıcı girdisini kabul etmesi ve ardından bu girdiyi call_user_func_array() ile geçirmesidir. Bu durum, kötü niyetli kullanıcıların sunucuda rastgele kod çalıştırmasını mümkün hale getirmektedir.

Güvenlik açığı, 18 Kasım’da rapor edilmiş ve eklenti geliştiricileri, raporu aldıktan bir gün sonra 0.9.2 sürümü ile düzeltme yayınlamıştır. Açığın sadece hazırlanmış bir istek yoluyla kimlik doğrulaması gerektirmeden kullanılabilmesi, teknik detayların kamuya açık bir şekilde ifşa edilmesinin kötü niyetli faaliyetleri arttırabileceği anlamına gelmektedir.

Sonuç ve Öneriler

Web sitesi sahiplerinin, en kısa sürede en son sürüme geçmeleri veya eklentiyi devre dışı bırakmaları önerilmektedir. Bu tür güvenlik açıkları, web sitelerinin bütünlüğünü tehdit ettiğinden, proaktif önlemler almak her zaman önemlidir. Kullanıcı rolleri ve erişim izinleri üzerinde dikkatli bir kontrol sağlamak, bu tür saldırılara karşı korunmanın en iyi yoludur.

Güncel Siber Güvenlik Haberleri – 2

Contents
  • Kritik Güvenlik Açığı Nedir?
    • Açığın Yayılma Süreci
  • Açığın Teknik Detayları
    • Saldırıların Yol Haritası
  • Güvenlik Önlemleri ve Güncellemeler
    • Diğer Kritik Güvenlik Açıkları
  • Sonuç ve Öneriler
Output Messenger açığı, casusluk saldırılarında sıfırıncı gün ile istismar edildi.
Bilim insanları Mars toprağının neden bu kadar kabuklu olduğunu çözdü
Dropbox, Dijital İmza Hizmetinin Tüm Kullanıcıları Etkileyen İhlalini Açıkladı
Neden “üretken AI” aniden herkesin ağzında: bu bir “açık alan”
Yapay Zeka Aracı, Karşıt Görüşlere Sahip İnsanların Kamu Politikası Tartışmalarında Ortak Zemin Bulmalarına Yardımcı Oluyor
ETİKETLENDİ:AçığıEklentisindeElementorgüvenlikKritikNedenOluyorsaldırılara
Bu Makaleyi Paylaş
Facebook Bağlantıyı Kopyala Yazdır
Paylaş
Önceki Makale Reddit CEO’su r/popular’ın “kötü” olduğunu açıkladı, ne olacak?
Sonraki Makale <p><strong>WordPress Telex: AI ile Saniyeler İçinde Etkileyici Web Araçları Yaratın!</strong></p>

Sanal Medya

FacebookBeğen
452Takip Et
PinterestSabitle
237Takip Et

Son Eklenenler

Kendi Fiziksel Oyun Kartuşlarını Üreten PC Oyun Yazarından Yenilikçi Proje
Oyun
CDC’nin Cyclospora Laboratuvarı: Personel Azalması Tehlike Arttırıyor!
Genel
ASML, Low-NA EUV araçlarının fiyatlarını artırmayı hedefliyor
Donanım
Laravel’de XSS Önleme — Neden {!! !!} Güvenli ile Hacklenmiş Arasındaki Sınırdır
Yazılım
2000 Mules Ekibi, Seçim Entrikalarını Yeniden İşliyor: Yeni Film Geliyor!
Genel
Vertu’nun yöneticilerden 6,880 dolara AI ajansı talebi ve performansı
Yapay Zeka
//

Siber güvenlik, yapay zeka ve savunma sanayiinden; finans ve sinema dünyasına uzanan geniş bir yelpaze. Teknomers; teknoloji, strateji ve yazılım dünyasını sade bir dille sizlerle buluşturuyor.

Kurumsal

  • Hakkımızda
  • Gizlilik politikası
  • Tanıtım Yazısı ve Backlink Hizmeti

Kategoriler

  • Teknoloji
  • Oyun
  • Sinema
  • Siber Güvenlik
  • Bilim
  • Finans
  • Dünyadan Güncel Haberler

Populer

  • TV'de Ücretsiz İzlenebilen Şifresiz Erotik Kanallar (2025 Güncel Frekans Listesi)

  • The Last of Us PC Kontrolleri: Hızlı Silah Değiştirme ve Tüm Tuşlar (2025)

  • Hogwarts Legacy'de Odaklanma İksiri Nasıl Yapılır?

Teknomers | Dünyadan Güncel Teknoloji | Oyun | Müzik | Film | Spor HaberleriTeknomers | Dünyadan Güncel Teknoloji | Oyun | Müzik | Film | Spor Haberleri
Bizi Takip Et
© 2026 Teknomers. All Rights Reserved.
Welcome Back!

Sign in to your account

Kullanıcı Adı veya E-posta Adresi
Şifre

Şifrenizi mi unuttunuz?