Otomobil/motor bayileri ve kiralama hizmetleri ile popüler olan bir WordPress teması olan Motors’ta kritik bir güvenlik açığı (CVE-2025-4322), yönetici hesaplarını devralmak ve hedef WP tabanlı siteler üzerinde tam kontrol elde etmek için kimlik doğrulanmamış saldırganlar tarafından kolayca kullanılabilir.
Bu şekilde edinilen ayrıcalıklar, saldırganların kullanıcı verilerini çalan, indirme bağlantıları kötü amaçlı yazılımlara yönlendiren, ziyaretçileri kötü amaçlı sitelere yönlendiren, bir arka kapı yükleyen veya temel veritabanına kaydedilen verileri çalan komut dosyaları enjekte etmesine izin verir.
CVE-2025-4322 HAKKINDA
Motors, StyLemixthemes tarafından geliştirilen ve özellikle otomobil, motor, tekneler ve diğer kişisel ulaşım araçlarının satışına, kiralamasına ve onarılmasına katılan işletmelere hitap etmek için yapılmış ücretli bir WordPress temasıdır.
CVE-2025-4322, 5.6.67 sürümüne kadar ve dahil olmak üzere Motors temasının tüm sürümlerini etkileyen kimlik doğrulanmamış bir ayrıcalık artış kırılganlığıdır.
“Bu [vulnerability] temanın şifrelerini güncellemeden önce bir kullanıcının kimliğini doğru bir şekilde doğrulamamasıdır. Bu, kimlik doğrulanmamış saldırganların yöneticiler de dahil olmak üzere keyfi kullanıcı şifrelerini değiştirmesini ve hesaplarına erişebilmeleri için yararlanmasını mümkün kılar ”diyor WordPress güvenlik şirketi WordFence.
Güvenlik açığı, bu ayın başlarında WordFence’ın WP eklentileri ve temaları için hata ödül programı aracılığıyla “Foxyyy” tarafından geçen bir böcek avcısı tarafından bildirildi. Motors teması yapımcıları 14 Mayıs’ta yamalı bir versiyon yayınladı.
Risk azaltma ve iyileştirme
Motors temasını kullanan WP sitelerinin yöneticilerinin, 5.6.68 sürümüne yükseltmesi ve yetkisiz şifre değişiklikleri ve yetkisiz erişim kanıtı için günlükleri incelemeleri önerilir.
Sitenin tehlikeye atıldığına ve/veya değiştirildiğine dair herhangi bir gösterge bulurlarsa, şunları yapmalıdırlar:
- Kamu erişimini geçici olarak devre dışı bırakın.
- Güvenlik eklentilerini kullanın veya yeni/bilinmeyen yönetici kullanıcıları, değiştirilmiş WP çekirdek dosyaları, beklenmedik eklentiler için kurulumu manuel olarak kontrol edin.
- Tüm WP kullanıcı şifrelerini (özellikle Yönetici hesapları için olanlar), veritabanı şifrelerini, hesap kimlik bilgilerini barındıran ve eski oturumları geçersiz kılın.
- Yetkisiz hesapları silin, şüpheli eklentileri ve dosyaları kaldırın, lekeli WordPress çekirdek dosyalarını temiz olanlarla değiştirin wordpress.org
- Gelecekteki erişimi sağlamak için saldırganların yüklemiş olabileceği komut dosyalarını kontrol edin ve kaldırın.
- WP sitelerini sertleştirin.
En son ihlalleri, güvenlik açıklarını ve siber güvenlik tehditlerini asla kaçırmak için Breaking News e-posta uyarımıza abone olun. BURADA Abone Olun!