Tehdit aktörleri, Service Finder WordPress temasını etkileyen, yöneticiler de dahil olmak üzere herhangi bir hesaba yetkisiz erişim elde edilmesini ve duyarlı sitelerin kontrolünü ele geçirmeyi mümkün kılan kritik bir güvenlik açığından aktif olarak yararlanıyor.
Kimlik doğrulama atlama güvenlik açığı şu şekilde izlenir: CVE-2025-5947 (CVSS puanı: 9,8), Service Finder temasıyla birlikte gelen bir WordPress eklentisi olan Service Finder Bookings’i etkiler. Foxyyy isimli bir araştırmacı tarafından keşfedildi.
Wordfence araştırmacısı István Márton, “Bu güvenlik açığı, kimliği doğrulanmamış bir saldırganın, ‘yönetici’ rolüne sahip hesaplar da dahil olmak üzere bir sitedeki herhangi bir hesaba erişmesini mümkün kılıyor.” dedi.
Sorunun özünde, eklentinin bir hesap değiştirme işlevi (service_finder_switch_back()) aracılığıyla oturum açmadan önce kullanıcının çerez değerini yeterince doğrulamaması nedeniyle kimlik doğrulama atlamasından kaynaklanan bir ayrıcalık artışı durumudur.
Sonuç olarak, kimliği doğrulanmamış bir saldırgan, sitede yöneticiler de dahil olmak üzere herhangi bir kullanıcı olarak oturum açmak, siteyi etkili bir şekilde ele geçirmek ve kullanıcıları sahte sitelere yönlendirmek için kötü amaçlı kod eklemek veya kötü amaçlı yazılım barındırmak için kullanmak gibi kötü amaçlarla siteyi kullanmak için bu davranıştan yararlanabilir.
Bu eksiklik, temanın 6.0 öncesi ve 6.0 dahil tüm sürümlerini etkiliyor. Bu sorun, 17 Temmuz 2025’te 6.1 sürümünün yayımlanmasıyla eklenti yöneticileri tarafından giderildi. Tema, Envato Market verilerine göre 6.100’den fazla müşteriye satıldı.
WordPress güvenlik şirketi, 1 Ağustos 2025’ten bu yana CVE-2025-5947’yi hedef alan istismar faaliyeti gözlemlediğini ve bugüne kadar 13.800’den fazla denemenin tespit edildiğini söyledi. Ancak bu çabaların başarı oranı şu anda net değil.
Service Finder Bookings eklentisi hesap değiştirme işlevini hedef alan aşağıdaki IP adresleri gözlemlendi:
- 5.189.221.98
- 185.109.21.157
- 192.121.16.196
- 194.68.32.71
- 178.125.204.198
Yöneticilerin sitelerini herhangi bir şüpheli etkinlik belirtisine karşı denetlemeleri ve tüm eklentilerin ve temaların en son sürümü çalıştırdığından emin olmaları önerilir.