Tehdit aktörleri, duyarlı siteleri devralmak için “tek başına-yardım kuruluşu çok amaçlı kar amacı gütmeyen WordPress teması” nda kritik bir güvenlik kusurunu aktif olarak kullanıyor.
Güvenlik açığı, CVE-2025-53949.8 CVSS puanı taşır. Güvenlik araştırmacısı Thái an, hatayı keşfetmek ve raporlamakla kredilendirilmiştir.
WordFence’e göre, eksiklik 7.8.3’ten önce ve dahil olmak üzere eklentinin tüm sürümlerini etkileyen keyfi bir dosya yüklemesi ile ilgilidir. 16 Haziran 2025’te yayınlanan 7.8.5 sürümünde ele alınmıştır.
CVE-2025-5394, “Yalnız_import_pack_install_plugin ()” adlı bir eklenti kurulum işlevine dayanır ve eksik özellik kontrolünden kaynaklanır, böylece kimliksiz kullanıcıların AJAX aracılığıyla uzaktan kaynaklardan keyfi eklentileri dağıtmasına ve kod yürütme elde etmesine izin verir.
WordFence’den István Márton, “Bu güvenlik açığı, kimlik doğrulanmamış bir saldırganın keyfi dosyaları savunmasız bir siteye yüklemesini ve genellikle tam bir site devralması için kaldırılan uzaktan kod yürütülmesini mümkün kılıyor.” Dedi.
Kanıtlar, CVE-2025-5394’ün, güvenlik açığının kamuya açıklanmasından iki gün önce 12 Temmuz’dan itibaren sömürülmeye başladığını göstermektedir. Bu, kampanyanın arkasındaki tehdit aktörlerinin, yeni ele alınan güvenlik açıkları için kod değişikliklerini aktif olarak izlemiş olabileceğini göstermektedir.
Şirket, kusuru hedefleyen 120.900 istismar girişimini zaten engellediğini söyledi. Etkinlik aşağıdaki IP adreslerinden kaynaklanmıştır –
- 193.84.71.244
- 87.120.92.24
- 146.19.213.18
- 185.159.158.108
- 188.215.235.94
- 146.70.10.25
- 74.118.126.111
- 62.133.47.18
- 198.145.157.102
- 2A0b: 4141: 820: 752 ::: 2
Gözlenen saldırılarda, uzak komutları yürütmek ve ek dosyalar yüklemek için PHP tabanlı bir arka kapı içeren bir zip arşivi (“WP-Classic-editor.zip” veya “arka plan-image-cropper.zip”) yüklemek için kusurun ortalaması alınır. Ayrıca, tam özellikli dosya yöneticileri ve Rogue Yönetici hesapları oluşturabilen backdoors da sunulmaktadır.
Potansiyel tehditleri azaltmak için, temayı kullanan WordPress site sahiplerine en son güncellemeleri uygulamaları, şüpheli yönetici kullanıcılarını kontrol etmeleri ve “/wp-admin/admin-ajax.php?Action=alone_import_pack_install_plugin” isteği için tarama yapmaları önerilir.