Tehdit aktörleri, uzaktan kod yürütülmesini sağlamak ve tam bir site devralma gerçekleştirmek için ‘tek başına’ WordPress temasında kimlik doğrulanmamış keyfi bir dosya yükleme güvenlik açığı aktif olarak yararlanıyor.
WordFence, müşterilerini hedefleyen 120.000’den fazla sömürü girişimini engellediğini söyleyerek kötü niyetli etkinliği bildiriyor.
WordPress güvenlik firması ayrıca, saldırıların kusurun halka açıklanmasından birkaç gün önce başladığını, bu da tehdit aktörlerinin, web sitesi sahiplerine gönderilmeden önce önemsiz olarak yararlanabilir sorunları keşfetmek için değişim günleri ve yamaları izlediğini gösteriyor.
CVE-2025-5394 altında izlenen güvenlik açığı, tek başına tüm sürümleri 7.8.3’e kadar etkiler. Satıcı, Bearsthemes, 16 Haziran 2025’te piyasaya sürülen tek başına 7.8.5 sürümünde düzeltildi.
Sorun, temanın nonce kontrollerinden yoksun olan ve wp_ajax_nopriv_ kancası aracılığıyla maruz kalan ‘tek başına_import_pack_install_plugin ()’ işlevinden kaynaklanmaktadır.
İşlev, AJAX aracılığıyla eklenti kurulumuna izin verir ve postan verilerinde bir uzak kaynak URL’yi kabul ederek, kimlik doğrulanmamış kullanıcıların uzak URL’lerden eklenti kurulumlarını tetiklemesini sağlar.
WordFence’a göre, saldırganlar Zip Arşivleri’ne web kabuklarını yüklemek için kusurdan yararlanır, HTTP istekleri aracılığıyla kalıcı uzaktan komut yürütmeye izin veren veya gizli yönetici kullanıcıları oluşturmak için şifre korumalı PHP backrods dağıtır.
Bazı durumlarda, saldırganlar, sitenin veritabanları üzerinde tam kontrol sağlayan tam özellikli dosya yöneticileri bile kurarlar.
Yukarıdakiler göz önüne alındığında, uzlaşma belirtileri arasında yeni yönetici kullanıcılarının görünümü, şüpheli zip/eklenti klasörleri ve ‘admin-ajax.php? Action = tek başına_import_pack_install_plugin’ istekleri yer alıyor.
WordFence, IP adreslerinden on binlerce sömürü denemesi 193.84.71.244, 87.120.92.24, 146.19.213.18 ve 2a0b: 4141: 820: 752 :: 2, bu nedenle bunlar hemen bloke edilmelidir.
Kaynak: WordFence
Tek başına, envato pazarında yaklaşık 10.000 satışla, öncelikle hayır kurumları, STK’lar, bağış toplama kuruluşları ve sosyal kuruluşlar gibi kâr amacı gütmeyen kuruluşlar tarafından kullanılan premium bir temadır.
WordFence, 30 Mayıs 2025’in başlarında Bearsthemes’e bir rapor sunsa da, geri duymadılar, bu yüzden sorunu 12 Haziran’da Envato ekibine yükselttiler.
Dört gün sonra, satıcı, tüm kullanıcılar için önerilen güncelleme hedefi olan tek başına v7.8.5’in sabit bir sürümünü yayınladı.
Geçen ay, başka bir premium WordPress teması Motors, savunmasız web sitelerindeki yönetici hesaplarını ele geçirmeye yönelik bir kullanıcı doğrulama kusuru kullanan bilgisayar korsanları tarafından hedeflendi.
İşinizi etkilemeden önce gerçek zamanlı olarak ortaya çıkan tehditleri içerir.
Bulut algılama ve yanıtının (CDR) güvenlik ekiplerine bu pratik, saçma rehberde ihtiyaç duydukları avantajı nasıl verdiğini öğrenin.