Yaklaşık 1 milyon web sitesi tarafından kullanılan WordPress’in en popüler önbellekleme çözümlerinden biri olan W3 Total Cache eklentisinde kritik bir komut enjeksiyon güvenlik açığı keşfedildi.
CVSS ciddiyet puanı 9,0 (Kritik) olan ve CVE-2025-9501 olarak takip edilen güvenlik açığı, kimliği doğrulanmamış saldırganların, savunmasız sunucularda doğrudan rastgele PHP komutları yürütmesine olanak tanıyor.
W3 Toplam Önbellek Güvenlik Açığı
Kusur, uygun giriş doğrulaması olmadan dinamik işlev çağrılarını işleyen _parse_dynamic_mfunc işlevinde mevcuttur.
Saldırganlar, herhangi bir gönderiye WordPress yorum gönderimi yoluyla kötü amaçlı bir veri göndererek bu zayıflıktan yararlanabilirler.
| Alan | Detaylar |
|---|---|
| CVE Kimliği | CVE-2025-9501 |
| Eklenti | W3 Toplam Önbellek |
| Güvenlik Açığı Türü | Komut Enjeksiyonu |
| Sabit Sürüm | 2.8.13 |
| CVSS Puanı | 9.0 (Kritik) |
| CWE | CWE-78 |
| Saldırı Vektörü | Kötü amaçlı yük ile yorum gönderimi |
Güvenlik açığı, kimlik doğrulama gerektirmediği ve minimum düzeyde kullanıcı etkileşimi gerektirdiğinden, yama uygulanmamış tüm kurulumlar için acil ve ciddi bir tehdit oluşturur.
Güvenlik açığı Enjeksiyon kategorisine (OWASP A1) aittir. CWE-78: İşletim Sistemi Komutunda Kullanılan Özel Öğelerin Uygunsuz Engellenmesi olarak sınıflandırılmıştır.
Bu, saldırganların web sunucusu işleminin ayrıcalıklarıyla isteğe bağlı işletim sistemi komutlarını yürütebileceği anlamına gelir.
W3 Total Cache, WordPress altyapısında kritik bir rol üstlenerek site yöneticilerinin performans optimizasyonu için güvendiği gelişmiş önbellekleme işlevselliği sağlar.
Etkilenen her kurulumun Uzaktan Kod Yürütme (RCE) saldırıları için potansiyel bir giriş noktasını temsil etmesi nedeniyle, geniş çapta benimsenmesi bu güvenlik açığını özellikle endişe verici hale getiriyor.
Bu güvenlik açığından yararlanan saldırganlar, veri hırsızlığı, kötü amaçlı yazılım yükleme, fidye yazılımı dağıtımı ve web sitesi tahrifatı da dahil olmak üzere sunucunun tamamının ele geçirilmesine neden olabilir.
Güvenlik açığının 27 Ekim 2025’te kamuya açıklanması, acil düzeltme ihtiyacını artırıyor.
W3 Total Cache geliştirme ekibi, komut ekleme kusurunu gidermek için 2.8.13 sürümünde bir yama yayınladı. WordPress site yöneticilerinin derhal bu yamalı sürüme veya daha yeni bir sürüme güncelleme yapması gerekir.
Güvenlik ekipleri, şüpheli yorum gönderimleri ve istismar girişimlerini gösterebilecek olağandışı PHP yürütme kalıpları açısından sunucu günlüklerini incelemelidir.
WordPress web sitesi yöneticileri bu güncellemeye kritik olarak öncelik vermelidir. Birden fazla WordPress kurulumunu yöneten kuruluşlar, otomatik yama sistemleri uygulamalıdır.
Yetkisiz komut yürütme, dosya değişiklikleri veya başarılı bir şekilde kötüye kullanıma işaret edebilecek beklenmeyen giden bağlantılara ilişkin herhangi bir işarete karşı güvenlik izlemesi artırılmalıdır.
Günlük siber güvenlik güncellemeleri için bizi Google Haberler, LinkedIn ve X’te takip edin. Hikayelerinizi öne çıkarmak için bizimle iletişime geçin.
