SureForms WordPress eklentisinde, 200.000’den fazla aktif kurulumu etkileyen ve potansiyel olarak kimlik doğrulanmamış saldırganların tam site devralma elde etmesini sağlayan kritik bir keyfi dosya silme güvenlik açığı keşfedilmiştir.
CVSS skoru 8.8 (yüksek) ile CVE-2025-6691 olarak izlenen kusur, Brain fırtınası kuvveti tarafından geliştirilen eklentinin 1.7.3’üne kadar sürümlerde bulunur.
Bu güvenlik açığı, eklentinin form gönderme işleme ve silme mekanizmalarındaki yetersiz giriş validasyonundan kaynaklanır ve kötü amaçlı aktörlerin keyfi dosya yollarını form verilerine enjekte etmesine izin verir.
Bir yönetici böyle lekeli bir gönderimi sildiğinde, belirtilen dosyalar uygun kontroller olmadan sunucudan kaldırılır, kapıyı wp-config.php’yi silme gibi yıkıcı istismarlara açar ve siteyi uzaktan kod yürütme için savunmasız bir kurulum moduna zorlar.
Yetkısız dosya silme
Sorun ortaya çıkıyor prepare_submission_data()
içindeki işlev Form_Submit
alan değerlerini incelemeden girişler oluşturan sınıf.
Saldırganlar, dosya giriş alanları olmayan formlarda bile dosya yüklemelerini taklit eden diziler de dahil olmak üzere hazırlanmış verileri göndererek kullanabilir.
Bu kötü amaçlı girişler, veritabanında ve silinme yoluyla saklanır. delete_entry_files()
işlev Entries_List_Table
Sınıf, eklenti URL’leri körü körüne dosya yollarına dönüştürür ve PHP’leri kullanarak bunları kaldırır unlink()
yolları, uzantıları veya dizin kısıtlamalarını doğrulamadan.
Bu dezenfekte eksikliği, sitenin yapılandırma dosyası gibi amaçlanan yükleme dizininin dışındaki kritik dosyaların hedeflenebileceği anlamına gelir.
WP-Config.php, Sitenin veritabanı bağlantısını bozar ve saldırganların kendi veritabanlarına bağlantı vererek yönetebilecekleri ve uzaktan kod yürütme özelliklerini etkili bir şekilde elde edebilecekleri bir yeniden yükleme sihirbazını talep eder.
Wordfence Bug Bounty programı aracılığıyla Bluerock’dan araştırmacı Phat Rio tarafından keşfedilen güvenlik açığı 4.050 dolar kazandı.
Derinlemesine savunma güvenliğini vurgulayarak WordFence, 26 Haziran 2025’te 26 Temmuz 2025’te koruma için planlanan ücretsiz kullanıcılarla premium, bakım ve yanıt kullanıcıları için bir güvenlik duvarı kuralı dağıtarak hızla yanıt verdi.
Beyin Fırtınası Kuvvet Ekibi 25 Haziran 2025’te bilgilendirildi ve 30 Haziran 2025’e kadar 1.7.4, 1.6.5, 1.5.1, 1.4.5, 1.3.2, 1.2.5, 1.1.2, 1.0.7 ve 0.0.14 tarihinde yamalar yayınladı ve 30 Haziran 2025’e kadar, eski şubeler için arka planlar ve WordPress ile işbirliği de dahil.
Yama, delete_upload_file_from_subdir()
Geçiş saldırılarını önlemek için RealPath kontrollerini ve baseamame ekstraksiyonunu kullanarak yükleme klasöründeki ‘SureForms/’ alt dizinine yol kısıtlamalarını uygulayan işlev.
Yüksek tehditli bir istismardan dersler
Bu güvenlik açığı, zorlu formlarda yakın zamanda yapılan bir kusuru yansıtıyor ve WordPress eklentilerinde, form işleme ve dosya işleyişinde yetersiz doğrulamanın ciddi güvenlik risklerine yol açtığı yinelenen bir deseni vurguluyor.
Sömürü, bir yöneticinin genellikle spam olarak gizlenmiş kötü amaçlı girişi silmesini gerektirir ve bu da onu kalıcı saldırganlar için birincil hedef haline getirir.
WordFence, yamalı sürümlerde anında güncellemeler önerir ve geliştiricileri benzer sorunlar için kod denetlemeye, katı giriş dezenfekte etme, dizin beyaz listeleme ve tür kontrolleri uygulamaya teşvik eder.
Gelişmiş uç nokta güvenliği gibi ek sertleştirme önerileri, gelecekteki SureForms sürümleri için dikkate alınmaktadır.
Bu olay, WordPress ekosisteminin güvence altına alınmasında proaktif güvenlik açığı araştırmasının ve hızlı yama işleminin öneminin altını çizerek potansiyel yaygın site uzlaşmalarını önler.
Günlük Siber Güvenlik Haberleri’nde güncel olun. Bizi takip edin Google News, LinkedIn ve X’te.