W3 Total Cache Eklentisindeki Kritik Güvenlik Açığı
W3 Total Cache (W3TC) WordPress eklentisi, kritik bir güvenlik açığı ile gündeme geldi. Bu açıktan faydalanarak, kötü niyetli kullanıcılar sunucu üzerinde PHP komutları çalıştırabiliyor. Sadece kötü niyetli bir yorum göndermeleri yeterli.
Bahsi geçen açık, CVE-2025-9501 olarak izleniyor ve 2.8.13 öncesi tüm W3TC sürümlerini etkiliyor. Açık, kimlik doğrulaması gerektirmeden komut enjeksiyonu yapılmasına olanak tanıyor. W3TC, dünya genelinde bir milyondan fazla web sitesinde kurulu ve performansı artırmak için yaygın olarak kullanılıyor.
Güvenlik Açığının Etkileri
W3TC’nin geliştiricisi, 20 Ekim’de bu güvenlik açığını çözen 2.8.13 sürümünü yayımladı. Ancak WordPress.org verilerine göre, güncelleme sonrası 430,000’den fazla indirme yapılmış olsa da, hâlâ yüz binlerce web sitesinin bu açığa maruz kaldığı düşünülüyor.
WPScan güvenlik şirketine göre, bir saldırgan CVE-2025-9501’i kullanarak, _parse_dynamic_mfunc() işlevi üzerinden komutları enjekte edebilir. Bu işlev, önbelleğe alınmış içerikte yer alan dinamik işlev çağrılarını işlemekle sorumludur.
“[W3TC] eklentisi, _parse_dynamic_mfunc işlevi vasıtasıyla komut enjeksiyonuna açıktır. Kimlik doğrulaması gerekmeyen kullanıcılar, kötü niyetli bir yük içeren bir yorumu bir yazıya göndererek PHP komutlarını çalıştırabilir,” WPScan
Potansiyel Tehditler
Açığın başarılı bir şekilde istismar edilmesi durumunda, saldırganlar hassas verilere erişim sağlayabilir ve sunucu üzerinde tam kontrol elde edebilirler. Bu durum, saldırganların sunucuda herhangi bir komutu çalıştırabilmesine olanak tanır.
WPScan araştırmacıları, CVE-2025-9501 için bir kanıt konsepti (PoC) geliştirmiştir. Bu PoC’nin 24 Kasım’da yayımlanacağını ve bu süre zarfında kullanıcıların güncellemeleri yapmaları için yeterli zaman sağlanacağı açıklanmıştır.
Önlemler ve Tavsiyeler
Genellikle, bir PoC yayımlandıktan sonra kötü niyetli kişiler açığı istismar etmeye başlar. Saldırganlar, potansiyel hedefler arayarak saldırılar gerçekleştirmeye çalışırlar. Bu nedenle, web yöneticileri, güncelleme süresi sona ermeden W3TC eklentisini devre dışı bırakmayı düşünebilirler.
Güncellemeleri gerçekleştiremeyen kullanıcılar, yeterli güvenlik önlemleri alarak kötü niyetli yorumların eklentiyi istismar etmesini önleyebilirler. Önerilen uygulama, W3 Total Cache eklentisinin 20 Ekim’de yayımlanan 2.8.13 sürümüne güncellenmesidir.
