WordPress’teki Kritik Güvenlik Açığı
Son günlerde, Everest Forms Pro eklentisindeki kritik bir güvenlik açığının (CVE-2026-3300) siber suçlu tarafından istismar edildiği bildirilmektedir. Bu açık, saldırganların bir WordPress web sitesine tam erişim sağlamalarına olanak tanımaktadır.
Etkilenen Sistemler
Bu güvenlik sorunu, Everest Forms Pro eklentisinin 1.9.12 ve daha eski sürümlerini etkilemektedir. Eklenti, WordPress için bir form oluşturma eklentisi olan Everest Forms’un ticari bir uzantısı olup, iletişim, kayıt, ödeme gibi çeşitli özelleştirilmiş formlar oluşturmak için kullanılmaktadır.
Saldırı Nasıl Çalışıyor?
CVE-2026-3300 açığı, eklentinin karmaşık hesaplama özelliğinde yer almaktadır. Bu özellik, form alanlarından gönderilen değerleri kabul etmekte ve bunları bir PHP kodu dizisine ekleyerek çalıştırmaktadır. Ancak, kullanıcı girdileri ‘sanitize_text_field()” fonksiyonu aracılığıyla geçmektedir ki bu fonksiyon, tekil tırnak (‘) veya PHP sözdizimini etkileyen diğer karakterleri kaçırmamaktadır.
Bunun sonucunda, bir saldırgan:
- Beklenen diziyi kapatabilir,
- Rastgele PHP kodunu enjekte edebilir,
- Ve kalan oluşturulan kodu yorum satırı haline getirerek sunucuda kod çalıştırabilir.
Wordfence güvenlik duvarı ve kötü amaçlı yazılım tarayıcısı verilerine göre, bu açık aktif olarak istismar edilmekte ve kötü niyetli yönetici hesapları oluşturulmaktadır.
İstismar Süreci
Saldırgan, metin alanı için tekil tırnak ile başlayan bir değer gönderdiğinde, bu değer yazım dizgisini kapatmakta ve ardından wp_insert_user() fonksiyonunu çağırarak ‘diksimarina’ kullanıcı adıyla yeni bir yönetici hesabı oluşturmaktadır. Gereksiz kodlar // yorum işaretiyle kapatıldığından, PHP sözdizimi hatası oluşmamaktadır. Form işlenirken ve hesaplama değerlendirildiğinde, enjekte edilen PHP kodu çalıştırılmakta ve kötü niyetli yönetici hesabı oluşturulmaktadır.
Yönetici seviyesindeki erişim, saldırganlara şu eylemleri gerçekleştirme gücü vermektedir:
- İçerik değiştirme,
- Eklenti ve tema yükleme,
- Arka kapılar ve web shell’ler ekleme,
- Özel verilere erişim sağlama.
Çözüm ve Korunma
Araştırmacı h0xilo, bu açığı Şubat ayında Wordfence’e bildirmiştir ve 18 Mart’ta Everest Forms geliştiricisi, sorunu çözen bir yamanın yayınlandığını belirtmiştir. Aktif istismarlar 13 Nisan‘da başlamış ve güvenlik duvarı 29,300’den fazla saldırı girişimini engellemiştir.
Wordfence, istismar denemelerinin çoğunlukla şu iki IP adresinden geldiğini rapor etmektedir: 202.56.2[.]126 ve 209.146.60.26. Bu IP adreslerinin engellenmesi önerilmektedir. Ayrıca, web sitesi yöneticilerinin:
- Log dosyalarını gözden geçirmesi.
- Yönetici hesaplarında şüpheli aktiviteleri kontrol etmesi.
- Özellikle “diksimarina” içeren aktiviteleri incelemesi tavsiye edilmektedir.
Sonuç
Web sitenizin güvenliğini sağlamak için, Everest Forms Pro eklentisini güncelleyerek en son yamanın yüklü olduğundan emin olun. Ayrıca, şüpheli IP adreslerini ve aktiviteleri engelleyerek proaktif bir güvenlik stratejisi uygulayın.
