Giriş
Son günlerde WordPress’in çekirdek yapısında keşfedilen bir güvenlik açığı, anonim HTTP istekleri aracılığıyla uzaktan kod yürütülmesine olanak tanıyor. Bu durum, güvenlik güncellemelerinin zamanında uygulanmasının önemini bir kez daha gözler önüne seriyor.
Saldırı Nasıl Çalışıyor?
WordPress’in 6.9 ve 7.0 sürümlerini etkileyen bu açık, varsayılan konfigürasyona sahip bir kurulumda ve hiçbir eklenti olmadan çalıştırılabiliyor. Adam Kues tarafından keşfedilen bu açık, WordPress’in HackerOne programı aracılığıyla raporlandı. Açık, wp2shell adıyla yayınlanan bir yazıda, “ön koşul olmaksızın ve anonim bir kullanıcı tarafından istismar edilebileceği” belirtiliyor.
Etkilenen Sistemler
WordPress, 17 Temmuz 2026 tarihinde 6.9.5 ve 7.0.2 sürümlerini yayımlayarak, bu güvenlik açığını kapattı. Etkilenen sürümler şunlardır:
- 6.9.0 ile 6.9.4, 6.9.5 ile düzeltildi.
- 7.0.0 ile 7.0.1, 7.0.2 ile düzeltildi.
WordPress, zorunlu güncellemelerin otomatik güncelleme sistemine dahil olup olmadığını bildirmediği için, hangi sürümün çalıştığını kontrol etmek önemlidir.
Çözüm ve Korunma
Eğer güncelleme yapamıyorsanız, aşağıdaki geçici önlemleri uygulayabilirsiniz:
- Bir Web Uygulama Güvenlik Duvarı (WAF) üzerinden /wp-json/batch/v1 ve rest_route=/batch/v1 yollarını engelleyin. Her iki kuralın da uygulanması gerektiği vurgulanmaktadır.
- WP REST API’yi devre dışı bırakın, bu yöntem, kimlik doğrulaması yapılmamış REST erişimini tamamen kapatır.
- Bir kısa eklenti kullanarak anonim /batch/v1 isteklerini reddedin.
Sonuç
Bu açık hakkında henüz bir CVE kodu ya da CVSS skoru belirlenmediği için, güvenlik tarayıcıları tarafından işaretlenmeyecektir. Dolayısıyla, güncel sürümlere geçmek en etkili çözüm olacaktır. WordPress sitenizi güncelleyerek bu güvenlik açığını kapatmayı ihmal etmeyin.


