Siber Güvenlik

Kritik Güvenlik Açığı: Hacker’lar Modular DS Eklentisini Ele Geçiriyor

teknomers
teknomers

Modular DS WordPress Eklentisindeki Kritik Açık

Son zamanlarda, CVE-2026-23550 koduyla tanımlanan ve uzaktan kimlik doğrulamasını atlayarak admin erişimi sağlayan ciddi bir güvenlik açığı keşfedilmiştir. Bu açık, Modular DS eklentisinin 2.5.1 ve daha önceki sürümlerini etkileyerek 40,000’den fazla web sitesini riske atmaktadır.

Contents

Saldırı Nasıl Çalışıyor?

Söz konusu açık, bir dizi tasarım ve uygulama hatasından kaynaklanmaktadır. Eklenti, “doğrudan istek” modu aktif olduğunda gelen istekleri güvenilir kabul etmekte ve bu da çok sayıda kritik rotanın açılmasına yol açmaktadır. Ayrıca, otomatik bir admin giriş mekanizması tetiklenmektedir. Eğer istek gövdesinde özel bir kullanıcı kimliği sağlanmazsa, eklenti var olan bir admin veya süper admin kullanıcısını otomatik olarak seçip o kullanıcıyla giriş yapmaktadır.

  • CVE-2026-23550: Söz konusu açık
  • Versiyonlar: 2.5.1 ve daha eski sürümler
  • Önerilen güncelleme: 2.5.2 veya sonraki sürümler

Etkilenen Sistemler

Modular DS eklentisi, birden fazla WordPress sitesinin tek bir arayüzden yönetilmesine olanak tanımaktadır. Bu sebeple, eklentinin kurulu olduğu sistemler, aşağıdaki işlemleri yapabilmektedir:

  • Siteleri uzaktan izleme
  • Güncellemeleri yapma
  • Kullanıcıları yönetme
  • Sunucu bilgilerine erişim sağlama
  • Bakım görevlerini yerine getirme
  • Oturum açma

Çözüm ve Korunma

Modular DS, 2.5.2 sürümünde açığı kapatmak için gerekli güncellemeleri sağlamıştır. Güncellemeyle birlikte URL tabanlı rota eşleştirmesi kaldırılmış; tamamen doğrulanmış filtre mantığı üzerinden çalışmaya başlamıştır. Ek olarak, tanınmayan istekler için güvenli bir başarısızlık modu eklenmiştir.

Kullanıcıların aşağıdaki adımları takip etmesi önerilmektedir:

  • En kısa sürede  2.5.2  veya daha sonraki sürümlere güncelleme yapın.
  • Sunucu erişim günlüklerini şüpheli isteklere karşı gözden geçirin.
  • Admin kullanıcılarınızda yetkisiz eklemeler olup olmadığını kontrol edin.
  • Güncelleme sonrasında tüm WordPress tuzlarını yeniden oluşturun.

Bu açık, acil bir güvenlik riski taşımaktadır ve belirtilen adımların derhal uygulanması kritik önem arz etmektedir.

Meta, Avrupa’daki Kullanıcılardan Elde Edilen İçeriklerle Yapay Zeka Modeli Eğitimine Başlıyor
Chrome Sıfır Gün Uyarısı — Yeni Güvenlik Açığı Düzeltmek için Tarayıcınızı Güncelleyin
İngiltere ve ABD yapay zeka güvenlik testleri konusunda işbirliği yapmayı kabul etti
16 Chrome Uzantısı Saldırıya Uğradı ve 600.000’den Fazla Kullanıcı Veri Hırsızlığına Maruz Kaldı
Sıfır Güven Yılı Yaygınlaşıyor
ETİKETLENDİ:
Bu Makaleyi Paylaş
Önceki Makale Kritik: AWS CodeBuild Hatası GitHub Repo’larını Tehlikeye Attı
Sonraki Makale Elden Ring Güncellemesi, Sekiro Havasını Oyunda Estiriyor

Sanal Medya

Son Eklenenler

2026 Prime Günü’nde En İyi Mesh Router’da 145 Dolar İndirim Kazanın!
Genel
Bu bulmaca oyununun basit yapısı şaşırtıcı derinlikler barındırıyor
Liste
Steam Machine ön siparişleri eBay’de 3,000 dolara satılıyor
Donanım
Eski Telefonun Sırtında Yürümeyi Seçen Kai Wright
Liste
ABD, Ebola Krizi Ortasında Bir Göçmeni Uganda’ya Sınır Dışı Ediyor!
Genel
Apple, Çinli bellek yongalarına erişim için ABD’yi ikna etmeye çalışıyor
Donanım