Popüler “İletişim Formu 7, WPForms, Elementor Forms” veritabanında kritik bir güvenlik açığı keşfedilmiştir ve potansiyel olarak 70.000’den fazla web sitesini uzaktan kod yürütme saldırılarına maruz bırakmıştır.
CVE-2025-7384 olarak izlenen güvenlik açığı, maksimum CVSS skoru 9.8, 1.4.3’e kadar olan ve dahil olmak üzere tüm sürümleri etkiler ve 12 Ağustos 2025’te herkese açık olarak açıklanmıştır.
Kusur, eklentinin Get_lead_Detail işlevindeki güvenilmeyen girişin sazelleştirilmesi yoluyla PHP nesnesi enjeksiyonundan kaynaklanır ve kimlik doğrulanmamış saldırganların herhangi bir kullanıcı kimlik bilgisi veya etkileşimi gerektirmeden kötü niyetli PHP nesneleri enjekte etmesine izin verir.
Key Takeaways
1. Critical WordPress plugin vulnerability exposes 70,000+ sites to remote code execution.
2. Attackers can exploit PHP Object Injection for system compromise.
3. Update immediately to prevent exploitation
Bu, saldırganların savunmasız sunucularda keyfi kod yürütmesini sağladığı için en şiddetli web uygulaması güvenlik açıklarından birini temsil eder.
WordPress eklentisi Deserializasyon Güvenlik Açığı
Güvenlik açığı, kötü amaçlı serileştirilmiş nesnelerin uygulama tarafından uygun doğrulama olmadan işlendiği yaygın bir saldırı vektörü olan güvenilmeyen verilerin sazizleşmesini kullanır.
Güvenlik araştırmacısı Mikememyers, eklentinin veri işleme mekanizmasındaki özel zayıflığı belirledi, burada kullanıcı tarafından sağlanan girdinin dezenfekte kontrolleri olmadan doğrudan süzülme.
Bu güvenlik açığını özellikle tehlikeli kılan şey, genel olarak savunmasız veritabanı eklentisinin yanına kurulmuş olan Kontak Form 7 eklentisinde mülk odaklı bir programlama (POP) zincirinin varlığıdır.
Bu pop zinciri, saldırganların ilk nesne enjeksiyonlarını keyfi dosya silme yeteneklerine yükseltmelerine olanak tanır ve potansiyel olarak WP-Config gibi kritik sistem dosyalarını hedefler[.]PHP.
Çekirdek WordPress yapılandırma dosyaları silindiğinde, sistem uzlaşmasına veya uzaktan kod yürütme senaryolarını etkinleştirmeye yol açabilir.
Saldırı vektörü, kimlik doğrulaması gerektirmez, bu da onu kötü amaçlı aktörler için son derece erişilebilir hale getirir.
CVSS Vector String CVSS: 3.1/AV: N/AC: L/PR: N/UI: N/S: U/C: H/I: H/A: H, düşük karmaşık olan ağ tabanlı saldırıları, ayrıcalıklara gerek yok ve gizlilik, bütünlük ve kullanılabilirlik üzerinde yüksek etkiyi gösterir.
| Risk faktörleri | Detaylar |
| Etkilenen ürünler | İletişim Formu 7, WPForms, Elementor Forms eklentisi için veritabanı ≤ 1.4.3 |
| Darbe | Uzak Kod Yürütme |
| Önkoşuldan istismar | Yok (kimlik doğrulanmamış saldırı) |
| CVSS 3.1 puanı | 9.8 (kritik) |
Hafifletme
Etkilenen eklentiyi kullanan web sitesi yöneticileri hemen gerekli güvenlik yamalarını içeren 1.4.4 veya daha yeni sürümlere güncellemelidir.
Güvenlik açığı, GET_LEAD_DETAIL işlevindeki uygun giriş validasyonu ve dezenfekte mekanizmaları ile ele alındı ve kötü niyetli nesne enjeksiyonunu önledi.
Bu güvenlik açığının kritik doğası ve yaygın sömürü potansiyeli göz önüne alındığında, güvenlik uzmanları web uygulaması güvenlik duvarları (WAF) ve düzenli güvenlik izleme dahil olmak üzere ek koruyucu önlemlerin uygulanmasını önermektedir.
Kuruluşlar ayrıca WordPress kurulumlarının kapsamlı güvenlik denetimlerini yapmalı, özellikle de kullanıcı girdisini işleyen form işleme eklentilerine odaklanmalıdır.
Bu güvenlik açığının hızlı bir şekilde açıklanması ve yamalanması, güncellenmiş WordPress ortamlarının korunmasının önemini ve güvenlik araştırmacılarının ölçekte kullanılabilmeleri için potansiyel olarak yıkıcı kusurları belirlemede kritik rolünü vurgulamaktadır.
Boost your SOC and help your team protect your business with free top-notch threat intelligence: Request TI Lookup Premium Trial.