SureForms WordPress eklentisinde dünya çapında 200.000’den fazla web sitesini etkileyen ve potansiyel olarak site devralma saldırılarını tamamlamaya maruz kalan kritik bir güvenlik açığı keşfedildi.
CVSS skoru 8.8 olan CVE-2025-6691’e atanan güvenlik açığı, gerekli olmayan saldırganların WordPress veritabanı bağlantılarını kontrol eden önemli WP-Config.php dosyası da dahil olmak üzere etkilenen sunucularda keyfi dosyaları silmesine izin verir.
WordPress için popüler bir sürükle ve bırak form oluşturucu olan SureForms eklentisi, dosya işleme mekanizmasında kötü amaçlı aktörlerin herhangi bir kimlik doğrulama gerektirmeden form gönderimlerini kullanmasını sağlayan temel bir kusur içerir.
Saldırganlar WP-Config.php dosyasını başarıyla sildiğinde, WordPress sitesini kurulum moduna zorlayarak kendi veritabanı bağlantılarını kurmalarına ve tüm web sitesinin kontrolünü etkili bir şekilde ele geçirmelerine izin verebilirler.
WordFence analistleri, Bluerock’un güvenlik araştırmacısı Phat Rio’nun 21 Haziran 2025’te kusuru keşfettiği ve sorumlu bir şekilde bildirdiği hata ödül programı aracılığıyla bu güvenlik açığını tanımladı.
Güvenlik açığı, 1,7.3’e kadar olan ve dahil olmak üzere tüm SureForms sürümlerini etkiler, bu da WordPress ekosisteminde yaygın bir tehdit haline getirir.
.webp)
Bu güvenlik açığının teknik kökü, eklentinin form gönderme işlemi sırasında dosya yollarının yetersiz doğrulanmasında yatmaktadır.
Güvenlik açığı, prepare_submission_data() Kullanıcı tarafından sağlanan dosya yollarını düzgün bir şekilde doğrulamayan işlev.
Enfeksiyon mekanizması
Saldırı, delete_entry_files() Entries_list_table sınıfında işlev. Bu işlev, form gönderimleri yöneticiler tarafından silindiğinde yüklenen dosyaları temizlemek için tasarlanmıştır.
Ancak, işlev hiçbir alan türü doğrulama, dosya uzantısı denetimleri veya dizin kısıtlama doğrulaması yükleme gerçekleştirmez.
Savunmasız kod kritik kusuru gösterir:-
foreach ( $value as $file_url ) {
if ( empty( $file_url ) ) {
continue;
}
$file_path = Helper::convert_fileurl_to_filepath( urldecode( $file_url ) );
if ( file_exists( $file_path ) ) {
unlink( $file_path );
}
}Saldırganlar, form gönderimlerini, dosya yükleme alanları olmadan bile, keyfi dosya yollarını içerecek şekilde değiştirebilir. Yöneticiler bu gönderileri sildiğinde, kötü amaçlı dosya yolları işlenir ve kritik sistem dosyalarının silinmesine neden olur.
Brainstorm Force 30 Haziran 2025’te yamalar yayınladı ve delete_upload_file_from_subdir() Dosya işlemlerini SureForms alt diziniyle sınırlama işlevi.
Canlı kötü amaçlı yazılım davranışını araştırın, bir saldırının her adımını izleyin ve daha hızlı, daha akıllı güvenlik kararlarını alın -> Herhangi birini deneyin. Şimdi