Popüler WordPress eklentisinde, Crawllomatic Multisite Scraper post jeneratöründe ciddi bir güvenlik açığı keşfedildi ve potansiyel olarak binlerce web sitesini riske attı. CVE-2025-4389 olarak izlenen kusur, kimlik doğrulanmamış saldırganların kötü amaçlı dosyalar yüklemesine izin verir, bu da sonuçta etkilenen web sitelerinde uzaktan kod yürütülmesine yol açabilir.
Envato Codecany Marketplace’de lisans başına 59 $ karşılığında satılan tarama eklentisi, yaygın olarak kullanılan bir otomatik blog aracıdır. WordPress kullanıcılarının forumlar, RSS beslemeleri, hava durumu istatistikleri ve hatta JavaScript tabanlı web siteleri gibi çeşitli kaynaklardan içeriği kazıma ve yeniden yayınlamalarını sağlar. Bir web sitesini “para kazanma makinesine” dönüştürme yeteneğini tanıtıyor.
Satış sayfasında belirgin bir şekilde, Envato’nun “Envato WP gereksinimleri uyumlu” olmak üzere “WordPress Kalite Standartları” nı karşıladığını gösteren rozetlerdir. Bu, eklentinin güçlü güvenlik ve kodlama uygulamalarını izlediğini göstermektedir – yeni keşfedilen tarama kırılganlığının ardından şimdi ciddi bir soru var.
CVE-2025-4389’un detayları
Sorunun çekirdeği, eklentinin eksik bir dosya türü doğrulamasında yatıyor kümelek_generate_featured_image () işlev. 2.6.8.1’e kadar olan ve dahil olmak üzere tüm sürümlerde bulunan bu kusur, saldırganların herhangi bir kimlik doğrulama olmadan potansiyel olarak tehlikeli komut dosyaları da dahil olmak üzere keyfi dosyaları yüklemesine olanak tanır.
Sorunu açıklayan güvenlik firması WordFence’e göre, güvenlik açığı uzaktan kod yürütülmesine yol açabilir ve saldırganlara etkilenen web sitesi üzerinde tam kontrol sağlayabilir.
- Güvenlik Açığı Adı: Yetkısız Rasgele Dosya Yükleme
- Etkilenen sürümler: ≤ 2.6.8.1
- Yamalı sürüm: 2.6.8.2
- CVSS Puanı: 9.8 (Kritik)
- CVSS vektörü: CVSS: 3.1/AV: N/AC: L/PR: N/UI: N/S: U/C: H/I: H/A: H
- Açıklama Tarihi: 16 Mayıs 2025
- Araştırmacı: Foxyyy
Neden bu güvenlik açığı tehlikeli
Trawlomatic’deki kritik kırılganlık, sömürü kolaylığı nedeniyle şüpheli kurbanları hedefleyebilir. Kimlik doğrulama veya kullanıcı etkileşimi gerektirmez ve sunucuyu tamamen tehlikeye atabilecek dosya yüklemelerine izin verir. 9.8 CVSS puanı bu sorunu “kritik” aralığa yerleştirir.
Bu, web uygulamalarındaki en tehlikeli güvenlik açıklarından biri olan, kimlik doğrulanmamış keyfi bir dosya yükleme kusurunun ders kitabı örneğidir. Bu erişim seviyesiyle, saldırganlar web sitelerini tahrif edebilir, kullanıcı verilerini çalabilir veya kalıcı kötü amaçlı yazılım yükleyebilir.
Eklenti geliştiricisi, uygun dosya türü doğrulama ekleyerek sorunu ele alan yamalı bir sürüm – 2.6.8.2 – yayınlayarak yanıt verdi. Eklenti kullanıcıları, potansiyel uzlaşmayı önlemek için hemen güncellemeye teşvik edilir.
Saldırı vektörünün sadeliği göz önüne alındığında, istismarlar otomatik olarak ve yaygın olarak dağıtılabileceğinden, henüz güncellenmemiş olanlar yüksek risk altındadır.
İlgili
Medya Feragatnamesi: Bu rapor, çeşitli yollarla elde edilen iç ve dış araştırmalara dayanmaktadır. Sağlanan bilgiler yalnızca referans amaçlıdır ve kullanıcılar buna güvenmeleri için tam sorumluluk taşırlar. Cyber Express, bu bilgileri kullanmanın doğruluğu veya sonuçları konusunda hiçbir sorumluluk kabul etmez.