Geçtiğimiz iki ay boyunca tehdit aktörleri, Service Finder Bookings WordPress eklentisindeki kritik bir kimlik doğrulama atlama kusurunu silah haline getirerek, güvenliği ihlal edilmiş sitelerdeki herhangi bir hesabı ele geçirmelerine olanak sağladı.
İlk olarak 31 Temmuz 2025’te açıklanan güvenlik açığı, bir hata ödülü gönderiminin eklentinin servicefinderswitchback işlevi, ayrıcalıkları yükseltmeden önce kullanıcı değiştirme çerezini doğrulayamadı.
Saldırganlar zayıf noktayı hızlı bir şekilde tersine çevirerek 1 Ağustos’ta başlayan ve Eylül ayı boyunca yoğunlaşan kitlesel sömürü kampanyalarını tetikledi.
Bu süre zarfında Wordfence Güvenlik Duvarı, etkilenen sürümleri çalıştıran binlerce sitede 13.800’den fazla yararlanma girişimini engelledi.
İlk araştırma aşamasında, saldırganlar, kötü amaçlı bir e-posta içeren özel hazırlanmış HTTP istekleri gönderdiler. originaluserid kimlik doğrulamasını tamamen atlayan çerez.
Wordfence analistleri, kamuya açıklandıktan birkaç saat sonra anormal geri dönüş taleplerinde ani bir artış olduğunu fark ederek, tüm Wordfence Premium, Care ve Response müşterileri için bir güvenlik duvarı kuralının hızlı bir şekilde dağıtılmasına yol açtı.
| CVE Kimliği | Etkilenen Eklenti | Etkilenen Sürümler | Yamalı Sürüm | CVSS 3.1 Puanı | Saldırı Vektörü |
|---|---|---|---|---|---|
| CVE-2025-5947 | Hizmet Bulucu Rezervasyonları | ≤ 6,0 | 6.1 | 9.8 | Kimlik Doğrulama Baypası |
Ücretsiz sürümü kullanan siteler 30 günlük bir gecikmenin ardından koruma altına alındı ve birçok kurulum Temmuz ortasına kadar açıkta kaldı.
Başarılı bir şekilde yararlanmanın etkisi felakettir: Kimliği doğrulanmamış bir aktör, arka kapıların kurulmasına, veri sızmasına veya site tahrifatına izin vererek tam yönetici ayrıcalıkları elde eder.
Güvenlik açığına sahip eklentinin 6.000’den fazla aktif kurulumuyla, tarama botları ve komut dosyası içeren yararlanma kitleri Service Finder Bookings uç noktalarını araştırmaya başladıkça tehdit manzarası genişledi.
Enfeksiyon Mekanizması
Bu istismara daha yakından bakıldığında, saldırganların servicefinderswitchback GET isteği göndererek uç nokta ?switchback=1 ile Cookie: originaluserid=.
Eklenti kodu daha sonra şunu çağırır: –
if ( isset( $_COOKIE['originaluserid'] ) ) {
$originaluserid = intval( $_COOKIE['originaluserid'] );
wp_set_current_user( $originaluserid );
wp_set_auth_cookie( $originaluserid, true );
}Ne kimlik doğrulama ne de tek seferlik kontroller yapılmadığından, saldırganın sağladığı kullanıcı kimliği koşulsuz olarak kabul edilir ve bu kullanıcı (genellikle site yöneticisi) olarak oturum açılır.
Bu basit ama güçlü bypass, oturum yönetimi rutinlerinde sıkı girdi doğrulamanın öneminin altını çiziyor.
Daha Fazla Anında Güncelleme Almak için Bizi Google Haberler, LinkedIn ve X’te Takip Edin, CSN’yi Google’da Tercih Edilen Kaynak olarak ayarlayın.
