Yeni bir güvenlik açığı, CVE-2025-6043, Kötü amaçlı yazılımları tespit etmek ve kaldırmak için 10.000’den fazla web sitesi tarafından kullanılan popüler bir güvenlik aracı olan WordPress için Malcure kötü amaçlı tarama eklentisinde keşfedildi. WordFence’den güvenlik araştırmacıları, 15 Temmuz 2025’te bu kusuru açıklayarak CVSS ölçeğinde 8.1 olarak derecelendirilen yüksek şiddetli bir sorun olarak tanımladılar. CVE-2025-6043 uyarınca izlenen güvenlik açığı, 16 Temmuz 2025 itibariyle açılmamıştır.
Sorun, eklentinin 16.8’ine kadar olan ve dahil olmak üzere sürümlerde yatmaktadır. Güvenlik açığı, “aboneler” gibi en düşük erişim seviyesine sahip olanların bile, kimlik doğrulamalı kullanıcıların bile, wpmr_delete_file () Bu uygun yetenek kontrollerinden yoksundur. Kullanılansa, bu kusur sunucuda keyfi dosya silinmesine neden olabilir, bu da özellikle etkilenen sitede gelişmiş mod etkinleştirilirse, uzaktan kod yürütülmesine yol açar.
CVE-2025-6043’ü tehlikeli yapan nedir?
Güvenlik araştırmacısı, kusuru keşfetmekle kredilendirilen Arkadiusz Hydzik, “Bu güvenlik açığı özellikle ilgilidir çünkü ‘abone’ rolü genellikle birçok WordPress sitesinde kayıtlı kullanıcılar için varsayılandır” dedi.
Güvenlik açığı, eksik yetkilendirme sınıflandırması altına girer, saldırı vektörü ağ tabanlı (AV: N) olarak kategorize edilir, düşük karmaşıklık (AC: L) ve düşük ayrıcalıkların (PR: L) sömürülmesini gerektirir. Özellikle, hiçbir kullanıcı etkileşimi (UI: N) gerekmez, bu da bir saldırganın kullanıcıları herhangi bir işlem yapmaya kandırmadan kusurdan yararlanabileceği anlamına gelir.
“WordPress kötü amaçlı yazılımların kaldırılması için#1 araç seti” olarak tanımlanan saygın bir eklenti olmasına rağmen, Malcure kötü amaçlı yazılım tarayıcısının bu işlevdeki uygun erişim kontrolü eksikliği, web sitelerini ciddi riske maruz bırakır. Eklentinin itibarı ve yaygın kullanımı göz önüne alındığında, bu güvenlik açığı olan CVE-2025-6043, WordPress ve siber güvenlik topluluklarında dikkat çekmiştir.
Yama Yok çıktı
Ne yazık ki, bu yazı itibariyle Malcure kötü amaçlı yazılım tarayıcı eklentisinin geliştiricileri tarafından resmi bir yama yayınlanmadı. WordFence, özellikle web siteleri kullanıcı kayıtlarına izin veriyorsa, bir düzeltme sağlanana kadar eklentiyi devre dışı bırakmayı veya kaldırmayı düşünmelerini tavsiye etti.
Güvenlik uzmanları, site sahiplerini risk toleranslarını değerlendirmeye ve proaktif önlemler almaya çağırıyor. Bu, kullanıcı etkinliğinin izlenmesini, gereksiz kullanıcı kayıtlarının devre dışı bırakılmasını veya daha güçlü bir güvenlik kaydıyla alternatif kötü amaçlı yazılım tarama çözümlerine geçmeyi içerir.
Güvenlik açığı, eklentinin, yetkisiz dosya silme işlemlerinin etkisini artırabilecek “Gelişmiş Mod” gibi gelişmiş yapılandırmalarla birleştirildiğinde özellikle tehlikelidir. Bu silme işlemleri potansiyel olarak site işlevselliğini yozlandırabilir, kritik yapılandırma dosyalarını silebilir veya kötü amaçlı komut dosyaları veya backdoors yükleme de dahil olmak üzere daha fazla sömürü için kapıları açabilir.
Şimdilik, WordPress yöneticilerinin en son tehdit istihbaratıyla güncel kalmaları ve eklenti güncellemelerinde yakından izlemeleri öneriliyor. Güvenli bir sürüm yayınlanana kadar, bir üretim ortamında Malcure kötü amaçlı yazılım eklentisi kullanılması risk altında kalır.
Çözüm
CVE-2025-6043’ün keşfi, normal eklenti denetimlerinin önemini vurgulamak ve kullanıcı rolleri için en az ayrıcalık ilkesini uygulamaktadır. 15 Temmuz 2025’te açıklanan kusur, abone düzeyindeki kullanıcıların eksik erişim kontrolleri nedeniyle keyfi dosyaları silmelerine izin vererek etkilenen siteler için ciddi bir tehdit oluşturmasına izin veriyor. Şu anda mevcut hiçbir yama olmadan, kullanıcıların riski azaltmak için eklentiyi kaldırmaları veya değiştirmeleri şiddetle tavsiye edilir.
İlgili
Medya Feragatnamesi: Bu rapor, çeşitli yollarla elde edilen iç ve dış araştırmalara dayanmaktadır. Sağlanan bilgiler yalnızca referans amaçlıdır ve kullanıcılar buna güvenmeleri için tam sorumluluk taşırlar. Cyber Express, bu bilgileri kullanmanın doğruluğu veya sonuçları konusunda hiçbir sorumluluk kabul etmez.