MCP AI Motoruyla Güçlendirilen 100.000+ WordPress Sitesindeki Ayrıcalıklar

   Haziran 19, 2025  Posted in GBHackers

WordFence Tehdit İstihbarat Ekibi, yaygın olarak kullanılan bir araç olan AI motor eklentisinde ciddi bir güvenlik açığı tespit etti ve bu açık 100.000’den fazla WordPress web sitesini etkiliyor. Bu güvenlik açığı, CVSS skoru 8.8 (yüksek) ve CVE-2025-5071 tanımlayıcısı ile sınıflandırılmıştır.

Google Haberleri

Eklentinin 2.8.0 ila 2.8.3 sürümlerini etkileyen bu kusur, abone düzeyinde erişim veya daha yüksek olan kimliği doğrulanmış saldırganların MCP modülü üzerinde tam kontrol kazanmasına olanak tanır. Bu durum, ayrıcalık artışına yol açabilir ve önemli bir site güvenliği riski oluşturabilir.

WordPress Siteleri

Güvenlik açığının kökü, eklentinin ‘can_access_mcp()’ işlevindeki yetersiz izin kontrollerindedir. Varsayılan olarak, ‘IS_USER_Logged_in()’ koşuluna güvenmek, giriş yapan her kullanıcıya MCP uç noktalarına erişim sağlar. Bu durum, saldırganların jetonu atlayarak varsayılan oturum açmış kullanıcı erişimine geri dönmesine izin verir.

WordFence, bu güvenlik açığına Swift bir yanıt verdi ve eklentinin 2.8.4 sürümünde bir yama yayınladı. Düzeltme, ‘can_access_mcp()’ işlevini değiştirerek yönetici düzeyinde özellik kontrollerini varsayılan olarak uygular ve taşıyıcı jeton kimlik doğrulama işlemini güçlendirir.

WordFence, sorunu hızlı bir şekilde ele alarak 21 Mayıs 2025’te eklenti geliştiricisi Jordy Meow ile iletişime geçti ve yamanın 18 Haziran 2025’te yayınlanmasını sağladı. Bu açıdan, WordFence, güvenlik açığını ele alma konusundaki hızlı eylemleri için Meow’a ​​övgüde bulundu.

Bu ciddi güvenlik açığı nedeniyle, WordPress yöneticilerinin sitelerini korumak için AI Engine sürüm 2.8.4’e hemen güncelleme yapmaları önemlidir. Bu tür önemli güvenlik açıkları, izin kontrollerinin ne kadar önemli olduğunu vurgular ve site sahiplerinin güvenliklerini sağlamlaştırmaları gerektiğini hatırlatır.

Bu bilgileri AI motor eklentisini kullanan diğer kullanıcılarla paylaşmak, genel topluluk güvenliğini korumak için önemlidir. Daha fazla güvenlik güncellemesi ve haberler için bizi Google News, LinkedIn ve X’te takip edebilirsiniz. Daha fazla bilgi için kaynak bağlantısına göz atabilirsiniz.