- ACF’de kritik hata: Genişletilmiş WordPress eklentisi, yöneticiye keyfi rol aktarımına izin veriyor
- 0.9.2.2 sürümündeki yamaya rağmen yaklaşık 50.000 WordPress sitesi savunmasız durumda
- Henüz bir istismar bildirilmedi ancak saldırganların yakında açığa çıkan siteleri incelemesi bekleniyor
Yaklaşık 50.000 WordPress Son zamanlarda popüler bir yazılımda keşfedilen kritik önemdeki bir güvenlik açığı nedeniyle web siteleri şu anda tüm sitenin ele geçirilmesi riskiyle karşı karşıyadır. eklenti.
Aralık 2025’in ortasında, güvenlik araştırmacısı Andrea Bocchetti Wordfence’e, Gelişmiş Özel Alanlar (ACF) eklentisine daha fazla özellik ekleyen bir eklenti olan Gelişmiş Özel Alanlar: Extended’daki bir güvenlik açığı konusunda bilgi verdi.
ACF ayrıca kullanıcıların yazılara ve sayfalara özel alanlar eklemesine de olanak tanıyor ve şu anda yaklaşık 100.000 WordPress web sitesi tarafından aktif olarak kullanılıyor.
Nasıl güvende kalınır?
Bocchetti, hatanın form tabanlı kullanıcı oluşturma veya güncellemeler sırasında rol kısıtlamalarının düzgün şekilde uygulanmamasından kaynaklandığını söyledi.
Wordfence, tavsiye belgesinde şöyle açıkladı: “Güvenlik açığı bulunan sürümde, form alanları için herhangi bir kısıtlama yoktur; dolayısıyla forma bir rol alanı eklenmişse, kullanıcının rolü, alan ayarlarından bağımsız olarak ‘yönetici’ olarak bile keyfi olarak ayarlanabilir.”
“Herhangi bir ayrıcalık yükseltme güvenlik açığında olduğu gibi, bu da sitenin tamamının tehlikeye atılması için kullanılabilir.”
Başka bir deyişle, kimliği doğrulanmamış herhangi bir kullanıcı, kendisini bir WordPress sitesi için yönetici olarak ayarlayabilir ve aslında siteyi devralabilir.
Güvenlik açığı 0.9.2.1 ve önceki sürümlerde keşfedildi ve şu anda CVE-2025-14533 olarak izleniyor. Şiddet puanı 9,8/10 (kritik) olarak verildi.
İşin güzel yanı, kolayca istismar edilememesidir. Sitelerin, rol alanı eşlenmiş bir ‘Kullanıcı Oluştur’ veya ‘Kullanıcıyı Güncelle’ formunu kullanması gerekir.
Hata 0.9.2.2 sürümünde giderildi. WordPress’in resmi istatistiklerine göre, yaklaşık 50.000 web sitesi halihazırda en yeni sürüme güncellendi ve geriye yaklaşık olarak aynı sayıda web sitesi hala savunmasız durumda kaldı.
Yazının yazıldığı sırada kusurun yaygın olarak kötüye kullanıldığına dair bir kanıt yoktu, ancak artık haberler ortalıkta olduğuna göre, siber suçluların en azından güvenlik açıklarını araştırmaya başlayacaklarını varsaymak yanlış olmaz.
Aracılığıyla BleepingBilgisayar
Her bütçeye uygun en iyi antivirüs
TechRadar’ı Google Haberler’de takip edin Ve bizi tercih edilen kaynak olarak ekleyin Akışlarınızda uzman haberlerimizi, incelemelerimizi ve görüşlerimizi almak için. Takip Et butonuna tıklamayı unutmayın!
Ve tabii ki siz de yapabilirsiniz TechRadar’ı TikTok’ta takip edin Video biçimindeki haberler, incelemeler ve kutu açma işlemleri için bizden düzenli güncellemeler alın WhatsApp fazla.