- WordFence, Sneeit Framework eklentisinde ≤8.3 sürümlerini etkileyen kritik RCE kusurunu (CVE-2025-6389) açıkladı
- Suistimal, saldırganların yönetici hesapları oluşturmasına, kötü amaçlı eklentiler yüklemesine ve WordPress sitelerini ele geçirmesine olanak tanır
- Kullanıcılardan v8.4’e güncelleme yapmaları, hileli yöneticileri, şüpheli PHP dosyalarını ve kötü amaçlı AJAX etkinliklerini izlemeleri istendi
WordFence güvenlik araştırmacıları, popüler bir eklentide, tehdit aktörlerinin kendilerini WordPress sitelerine yönetici olarak eklemelerine olanak tanıyan kritik önemdeki bir güvenlik açığı konusunda uyardı.
Geçtiğimiz hafta yayınlanan bir güvenlik tavsiyesinde WordFence, WordPress yöneticilerinin tema seçeneklerini, düzenleri ve özel özellikleri yönetmek için kullandığı bir arka uç araç seti olan Sneeit Framework’te bir uzaktan kod yürütme (RCE) hatası bulduğunu söyledi. Hata, CVE-2025-6389 olarak izleniyor, 9,8/10 (kritik) önem puanına sahip ve eklentinin 8.3’ten önceki ve 8.3 dahil tüm sürümlerini etkiliyor.
Ağustos 2025’in başlarında yayımlanan 8.4 sürümü bu durumdan etkilenmez. The Hacker News’e göre eklentinin şu anda 1.700’den fazla aktif kurulumu var.
Nasıl güvende kalınır?
Güvenlik açığının nasıl çalıştığını açıklayan WordFence, kötü niyetli aktörlerin rastgele bir PHP işlevini çağırabileceğini ve bunun, saldırganların daha sonra hedef web sitesi üzerinde tam kontrol sahibi olmak için kullanabileceği yeni bir yönetici kullanıcı oluşturmasını sağlayabileceğini söyledi. Bundan sonra kolayca kötü amaçlı eklentiler yükleyebilir, veri kazıyıcılar ekleyebilir, kurbanları başka sitelere yönlendirebilir, kimlik avı açılış sayfaları sunabilir ve daha fazlasını yapabilirler.
Suçluların, kamuya duyurulduğu andan itibaren bu kusurdan yararlanmaya başladıkları bildirildi. WordFence ilk gün 131.000’den fazla saldırıyı engelledi ve bugün bile günlük saldırı sayısı 15.000 civarında seyrediyor.
Bu güvenlik açığından korunmanın en iyi yolu eklentiyi 8.4 sürümüne güncellemektir. Kullanıcılara ayrıca WordPress platformlarını ve diğer tüm eklentileri ve temaları her zaman güncel tutmaları tavsiye edilir. Ayrıca kullanılmayan tüm unsurların platformdan silinmesi gerekmektedir.
Ayrıca, güvenlik açığı bulunan AJAX geri araması yoluyla oluşturulan yeni, yetkisiz bir WordPress yönetici hesabının ortaya çıkması gibi, web yöneticilerinin dikkat etmesi gereken tehlike göstergeleri de vardır.
Diğer bir uyarı işareti, xL.php, Canonical.php, .a.php, simple.php veya up_sf.php adlı web kabuklarının yanı sıra tehlikeli dosya türlerinin yürütülmesine izin vermek üzere tasarlanmış şüpheli .htaccess dosyaları da dahil olmak üzere sunucuya yüklenen kötü amaçlı PHP dosyalarının varlığıdır.
Güvenliği ihlal edilen siteler, saldırganın kabuk bulma aracı tarafından oluşturulan finderdata.txt veya goodfinderdata.txt gibi dosyaları da içerebilir. 185.125.50.59, 182.8.226.51, 89.187.175.80 gibi bilinen saldırı IP’lerinden ve raporda listelenen diğer IP’lerden gelen başarılı AJAX isteklerini gösteren günlük dosyaları, güvenlik açığının siteye erişmek için kullanıldığına dair bir başka güçlü göstergedir.
Aracılığıyla Hacker Haberleri
Her bütçeye uygun en iyi antivirüs
TechRadar’ı Google Haberler’de takip edin Ve bizi tercih edilen kaynak olarak ekleyin Akışlarınızda uzman haberlerimizi, incelemelerimizi ve görüşlerimizi almak için. Takip Et butonuna tıklamayı unutmayın!
Ve tabii ki siz de yapabilirsiniz TechRadar’ı TikTok’ta takip edin haberler, incelemeler ve video biçimindeki kutu açma işlemleri için bizden düzenli olarak güncellemeler alın WhatsApp fazla.