Yaygın olarak kullanılan GiveWP – bağış eklentisi ve bağış toplama platformunda kritik bir güvenlik kusuru, 3 Mart 2025’ten beri uzaktan kod yürütme saldırılarına karşı savunmasız 10.000’den fazla WordPress web sitesini bıraktı.
CVE-2025-0912 olarak izlenen güvenlik açığı, eklenmemiş saldırganların 3.19.4 ve daha önceki sürümlerde bir seansizasyon kusurundan yararlanarak siteleri kaçırmasına izin verir.
Güvenlik Açığı Genel Bakış
Güvenlik açığı, bağış formlarında Card_Address parametresinin uygunsuz dezenfekte edilmesinden kaynaklanmaktadır.
Saldırganlar, Web sunucularına kötü niyetli PHP nesneleri enjekte edebilir ve keyfi kod yürütmek ve etkilenen siteler üzerinde tam kontrol elde etmek için özellik odaklı bir programlama (POP) zincirinden yararlanabilir.
CVSS skoru 9.8 (kritik) ile kusur, tehdit aktörlerinin hassas donör verilerini çalmasını, backdoors’u dağıtmasını veya kimlik doğrulaması yapmadan işlemleri yönlendirmesini sağlar.
Güvenlik Araştırmacı Dream Hard, rutin kod analizi sırasında sorunu keşfetti ve güvenilmeyen girdilerin çelişkisinin eklentinin ödeme işleme iş akışındaki tüm güvenlik kontrollerini atladığını belirtti.
“Bu güvenlik açığı mükemmel bir fırtına: yaygın kullanım, önemsiz sömürü ve yüksek etki. Saldırganlar siteleri, sifon fonlarını bozabilir veya birkaç dakika içinde ayrıcalıkları artırabilir ”dedi.
Etki ve sömürü riskleri
GiveWP, kar amacı gütmeyen kuruluşlar, dini kuruluşlar ve dünya çapında siyasi kampanyalar için bağış sistemlerini yılda milyonlarca işlem yaparak güçlendiriyor. Tahminen Siteler Risk:
- Değiştirilmiş ödeme ağ geçitleri yoluyla finansal sahtekarlık
- Donör adlarını, e -postaları ve faturalandırma adreslerini ortaya çıkaran veri ihlalleri
- Enjekte edilen kötü niyetli yönlendirmeler yoluyla SEO zehirlenmesi
- Kimlik avı içeriği barındırma için tam site devralma
WordFence Intelligence, 4 Mart’tan itibaren savunmasız siteler için aktif taramayı doğruladı ve vahşi doğada en az üç farklı istismar zinciri gözlendi.
Eklentinin görev açısından kritik varlıklar arasındaki popülaritesi, açılmamış örneklerle ilgili endişeleri arttırır.
Azaltma ve yanıt
GiveWP, 4 Mart’ta 3.20.0 sürümünü yayınladı ve doğrulama kontrolleri ve sınırlı veri seansizasyonunu getirdi. Yöneticiler hemen:
- Yamalı versiyona güncelleme
- /WP-JSON/VER/V1/Bağışlar için Şüpheli Gönderi İstekleri için Denetim Sunucusu Günlükleri
- Ödeme işlemcileri için API anahtarlarını iptal edin ve yenileyin
WordFence’ın tehdit analiz ekibinin “Eski sürümleri kullanan kuruluşlar uzlaşmayı üstlenmelidir” dedi. “Düzensizlikler için tam kötü amaçlı yazılım taramaları yapın ve donör hesaplarını izleyin”.
Siber güvenlik topluluğu, DiveWP’nin ilk yanıt zaman çizelgesini eleştirdi ve yamanın kamuoyunun açıklamasından 48 saat sonra geldiğini belirtti.
Açık kaynaklı koruyucular, özellikle finansal verileri işleyen eklentilerde, daha katı kod inceleme süreçlerine olan ihtiyacı vurguladılar.
5 Mart itibariyle, WordPress.org telemetrisine göre 7.000’den fazla site açılmamıştır. Hacker forumlarında dolaşan POC istismarları ile proaktif savunma penceresi hızla kapanıyor.
GiveWP’ye dayanan kuruluşlar, geri dönüşü olmayan itibar ve finansal hasarı önlemek için güncellemelere öncelik vermelidir.
Collect Threat Intelligence on the Latest Malware and Phishing Attacks with ANY.RUN TI Lookup -> Try for free