Önemli Güvenlik Açığı: ACF Extended Eklentisi
WordPress için geliştirilmiş olan Advanced Custom Fields: Extended (ACF Extended) eklentisinde kritik bir güvenlik açığı tespit edilmiştir. Bu açık, kimlik doğrulaması yapılmamış saldırganların uzaktan erişimle yönetici izinleri elde etmesine olanak tanımaktadır.
ACF Extended ve Güvenlik Açığı
ACF Extended, şu anda 100,000’den fazla web sitesinde aktif olan, Advanced Custom Fields (ACF) eklentisinin yeteneklerini geliştiren özel bir eklentidir. Güvenlik açığı, CVE-2025-14533 koduyla izlenmekte olup, 0.9.2.1 ve öncesi versiyonlarda, eklentinin ‘Kullanıcı Ekle / Kullanıcı Güncelle’ form eyleminin kötüye kullanılması yoluyla yönetici ayrıcalıklarının elde edilmesine imkan tanımaktadır.
Saldırı Nasıl Çalışıyor?
Açığın temel sebebi, form tabanlı kullanıcı oluşturma veya güncelleme işlemlerinde rol kısıtlamalarının zorunlu kılınmamasıdır. Bu durum, rol kısıtlamalarının alan ayarlarında doğru bir şekilde yapılandırılmış olsa bile istismar edilmesine olanak tanımaktadır. Wordfence’in açıklamasına göre:
- “Zayıf versiyonda, form alanlarında herhangi bir kısıtlama yok; bu nedenle, bir role alanı eklenmişse, kullanıcının rolü herhangi bir şekilde, hatta ‘yönetici’ olarak belirlenebilir.”
Bu tür bir ayrıcalık yükseltme açığı, tam site kontrolünü ele geçirme riski taşımaktadır.
Etkilenen Sistemler
Açığın etkisi oldukça ciddidir, ancak Wordfence, sorunun yalnızca ‘Kullanıcı Oluştur’ veya ‘Kullanıcı Güncelle’ formunu kullanan sitelerde istismar edilebileceğini vurgulamaktadır. Güvenlik araştırmacısı Andrea Bocchetti, 10 Aralık 2025 tarihinde sorunla ilgili bir rapor sunarak durumu doğrulamış ve satıcıya iletmiştir. Dört gün sonra, satıcı sorunu çözerek 0.9.2.2 versiyonunu piyasaya sürmüştür.
wordpress.org web sitesindeki indirme istatistiklerine göre, bu tarihten sonra yaklaşık 50,000 kullanıcı eklentiyi indirmiştir ve bu durum aynı zamanda bu sitelerin büyük bir kısmının açık kalmasına sebep olmaktadır.
Çözüm ve Korunma
Henüz CVE-2025-14533’e yönelik herhangi bir saldırı tespit edilmemiştir, ancak GreyNoise, Ekim 2025’ten Ocak 2026’ya kadar, potansiyel olarak savunmasız siteleri belirlemeye yönelik büyük ölçekli bir WordPress eklenti keşif faaliyeti kaydetmiştir. Önerilen yöntemler:
- Hemen ACF Extended eklentisini en son sürüme güncelleyiniz.
- Gerekirse, ‘Kullanıcı Oluştur’ veya ‘Kullanıcı Güncelle’ formlarını devre dışı bırakın.
- WordPress sitelerinizin güvenliğini düzenli olarak kontrol edin.
Aksiyon: Ne Yapmalısınız?
Güvenliğinizi sağlamak için yukarıda belirtilen adımları izleyin. ACF Extended eklentisini 0.9.2.2 ve üzeri bir sürüme güncelleyerek, bu ciddi güvenlik açığına karşı korunmuş olursunuz. Gerekirse, açık veya potansiyel olarak riskli formları kaldırarak ek önlemler alabilirsiniz.
