Dünya çapında 82.000’den fazla kurulum bulunan birinci sınıf bir WordPress teması olan TheGem’de kritik güvenlik açıkları tespit edildi.
Araştırmacılar, 5.10.3 ve daha önceki Teamem tema sürümlerinde iki ayrı ancak birbirine bağlı güvenlik açıkları belirlediler.
Birleştirildiğinde, bu güvenlik açıkları, uzaktan kod yürütülmesine ve tam site uzlaşmasına yol açabilecek tehlikeli bir saldırı vektörü oluşturur.
.png
)
“İndirilen dosya, varsayılan olarak herkese açık olarak erişilebilen WordPress Yükleme Klasörüne kopyalanır… Saldırganlar, keyfi kötü amaçlı PHP kodu yüklemek ve daha sonra uzaktan kod yürütmesini tetiklemek için dosyaya erişebilir” diye uyarıyor WordFence raporu.
Kritik dosya yükleme güvenlik açığı (CVE-2025-4317)
8.8 yüksek aralıklı bir CVSS puanı atanan ilk güvenlik açığı, thegem_get_logo_url () işlevindeki eksik dosya türü doğrulaması nedeniyle keyfi dosya yüklemeleri içerir.
Bu güvenlik açığı, etkilenen sunuculara potansiyel olarak kötü amaçlı dosyaları yüklemek için abone düzeyinde erişimi olan kimliği doğrulanmış saldırganlara izin verir.
Söz konusu savunmasız kod, dosya türlerini doğrulamaz:
TheGem temasından gelen bu kod snippet’i, saldırganların kötü amaçlı PHP dosyalarını yüklemesi için bir giriş noktası oluşturarak doğrulamadan dosyaları körü körüne indirir.
Tema Seçenekleri Modifikasyon Güvenlik Açığı (CVE-2025-4339)
CVSS skoru 4.3 olan orta şiddet olan ikinci güvenlik açığı, temanın Ajaxapi () işlevindeki yetersiz yetkilendirme kontrollerinden kaynaklanmaktadır. Bir nonce kontrolü ile korunmasına rağmen, bu işlev uygun özellik doğrulamasından yoksundur:
Bu güvenlik açığı, logo URL’sini kötü niyetli içeriğe işaret edecek şekilde ayarlama da dahil olmak üzere, abone düzeyinde izinli kimlik doğrulamalı kullanıcıların tema ayarlarını değiştirmelerini sağlar.
Güvenlik uzmanları, her iki güvenlik açıkından da yararlanan potansiyel bir saldırı zincirini özetledi:
- Kötü niyetli bir PHP dosyasına işaret etmek için temanın logo URL ayarını değiştirmek için abone düzeyinde Access Rustomsoit CVE-2025-4339’a sahip saldırganlar.
- Web sitesi logoyu yüklemeye çalıştığında, TheGem_get_Logo_Url () İşlevi İndirir ve kötü amaçlı dosyayı doğrulama olmadan depolar.
- Saldırganlar daha sonra keyfi kod yürütmek ve potansiyel olarak web sitesinin tam kontrolünü almak için yüklenen dosyaya erişir.
Acil Eylem Gerekli
Güvenlik açıkları, 7 Mayıs 2025’te derhal yamalı bir versiyon (5.10.3.1) yayınlayan Codexthemes’e sorumlu bir şekilde açıklandı.
WordFence güvenlik ekibine, “Kullanıcıları sitelerini bu yazı sırasında en kısa sürede 5.10.3.1 sürümünün en son yamalı sürümüyle güncellemeye çağırıyoruz” dedi.
WordFence Premium kullanıcıları 5 Mayıs’tan bu yana bu istismarlara karşı güvenlik duvarı koruması aldı, ücretsiz kullanıcılar 4 Haziran 2025’te koruma alacaklar.
- 5.10.3.1 sürümüne güncelleme.
- Bir web uygulaması güvenlik duvarı uygulamayı düşünün.
- Site kullanıcı rollerini ve izinleri inceleyin.
- Sunucu günlüklerinde şüpheli etkinlik izleyin.
WordPress, küresel olarak tüm web sitelerinin yaklaşık% 43’ünü güçlendirdiğinden, TheGem gibi popüler temalardaki güvenlik açıkları, potansiyel yaygın etkiye sahip önemli güvenlik risklerini temsil etmektedir.
Bu olay, düzenli yazılım güncellemelerinin önemini, uyanık kullanıcı izni yönetimi ve web uygulaması güvenlik duvarları gibi sağlam güvenlik önlemlerinin uygulanmasını açık bir hatırlatma görevi görür.
Arm your business against phishing & suspicious artifacts with top threat intelligence, test TI Lookup with 50 trial requests