Güvenlik firması WordFence ve bağımsız araştırmacılardan yapılan son açıklamalara göre, popüler Forminator WordPress eklentisindeki kritik bir güvenlik kusuru, dünya çapında 600.000’den fazla web sitesini uzaktan devralma riski altına aldı.
CVE-2025-6463 olarak izlenen ve CVSS ölçeğinde 8.8 (yüksek) olarak derecelendirilen güvenlik açığı, kimliksiz saldırganların etkilenen sunuculardan keyfi dosyaları silmesine izin verir-potansiyel olarak tam site uzlaşmasına yol açar.
Güvenlik Açığı Nasıl Çalışır?
Kusur, 1.44.2’ye kadar olan ve dahil olmak üzere tüm forminatör sürümlerinde mevcuttur. Form gönderme işlemi sırasında eklentinin dosya silme işlemlerinde yetersiz doğrulamadan kaynaklanır.
Saldırganlar kötü amaçlı bir dosya yolu içeren bir form gönderimi yapabilir; Gönderim – bir yönetici tarafından manuel olarak veya eklenti ayarları tarafından otomatik olarak silindiğinde, referans verilen dosya da silinir.
| Alan | Değer |
| CVE-ID | CVE-2025-6463 |
| Eklenti adı | Forminatör Formları – İletişim Formu, Ödeme Formu ve Özel Form Oluşturucu |
| Etkilenen sürümler | <= 1.44.2 |
| Yamalı versiyon | 1.44.3 |
| Güvenlik Açığı Türü | Kimliği doğrulanmamış keyfi dosya silme |
| CVSS derecesi | 8.8 (Yüksek) |
Özellikle endişe verici olan, wp-config.php gibi kritik dosyaları hedefleme yeteneğidir. Bu yapılandırma dosyasının silinmesi, WordPress’i kurulum moduna zorlar, bir saldırganın siteyi kontrolleri altındaki bir veritabanına bağlamasını ve potansiyel olarak siteyi tamamen devralmasını sağlar.
WordFence, “Bu güvenlik açığı, kimlik doğrulanmamış tehdit aktörlerinin bir form gönderilmesinde keyfi dosya yollarını belirtmelerini mümkün kılar ve gönderim silindiğinde dosya silinir. WP-Config.php gibi, uzaktan kod yürütmesine yol açabilecek kritik dosyaları silmek için kullanılabilir” diye açıkladı WordFence.
Güvenlik Araştırmacısı Phat Rio – Bluerock güvenlik açığını keşfetti ve WordFence Bug Bounty programı aracılığıyla sorumlu bir şekilde bildirdi ve 8.100 dolarlık bir ödül kazandı – programın geçmişindeki en yüksek.
Forminator geliştiricileri olan WPMU Dev ekibi derhal cevap verdi ve 30 Haziran 2025’te yamalı bir versiyon (1.44.3) yayınladı.
WordFence, 26 Haziran’da premium kullanıcıları korumak için bir güvenlik duvarı kuralı kullandı ve ücretsiz kullanıcılar 26 Temmuz 2025’e kadar aynı korumayı alacaktı.
Teknik detaylar ve yama
Güvenlik açığı, meşru yükleme alanlarını veya WordPress Yükleme Dizini içindeki dosyalarda dosya silme işlemlerini kısıtlayamayan giriş_delete_upload_files () işlevinde ikamet etti.
Yama şimdi yalnızca belirlenmiş ‘yükleme’ veya ‘imza’ alanları aracılığıyla yüklenen dosyaların silinmesini ve yalnızca Yükleme Dizini içinde bulunduklarında silinmesini sağlar. Dosya adları da sterilize edilir ve kötüye kullanımı önlemek için yollar normalleştirilir.
Hangi site sahipleri yapmalı
- Forminator’u hemen 1.44.3 veya daha yüksek sürüm olarak güncelleyin.
- Şüpheli etkinlik için form gönderme ve silme ayarlarını gözden geçirin.
- Dosya sistemi değişikliklerini izleyin ve WordFence gibi güvenlik eklentilerini uygulayın.
- Kritik site dosyalarını yedekleyin ve kurtarma prosedürlerini test edin.
Saldırının sadeliği ve tam site uzlaşma potansiyeli ile yöneticilerin gecikmeden hareket etmeleri istenir.
Bu olay, WordPress ekosistemindeki proaktif eklenti yönetimi ve sağlam güvenlik uygulamalarının önemini vurgulamaktadır.
Bu haberi ilginç bul! Anında güncellemeler almak için bizi Google News, LinkedIn ve X’te takip edin