Motors WordPress temasında ciddi bir güvenlik kusuru ortaya çıkarıldı, bu da otomobil bayileri ve Themeforest’te 22.000’den fazla satışla birlikte listeler için popüler bir seçim.
Araştırmacı Foxyyy, WordFence Bug Bounty programı aracılığıyla kritik bir ayrıcalık artış kırılganlığı bildirdi ve ayrıntılı ve tekrarlanabilir sunumları için 1.073 dolarlık bir ödül kazandı.
CVSS ölçeğinde 9.8 (kritik) olarak derecelendirilen ve CVE-2025-4322 atanan bu güvenlik açığı, 5.6.67’ye kadar olan sürümleri etkiler.
.png
)
Kimlik doğrulanmamış saldırganların yöneticiler de dahil olmak üzere herhangi bir kullanıcının şifresini sıfırlamasına izin verir, böylece etkilenen web siteleri üzerinde tam kontrol edinir.
Temanın yaygın kullanımı göz önüne alındığında, bu kusur binlerce site için önemli bir tehdit oluşturur ve potansiyel olarak saldırganların kötü amaçlı dosyalar yüklemesini, spam enjekte etmesini veya kullanıcıları zararlı hedeflere yönlendirmesini sağlar.
Motorlar Temasında Kritik Güvenlik Açığı
Bu güvenlik açığının kökü, Motors temasının oturum açma kayıt widget’ında, özellikle parola-geri dönme.php şablonunda yatmaktadır.
Kod, şifre güncellemelerini işlemeden önce kullanıcı kimliğini yeterince doğrulayamıyor.
Teknik analiz, şablonun bir kullanıcı kimliği ve bir karma için parametreler yoluyla denetlendiğini, ancak uygunsuz sterilizasyon nedeniyle, saldırganların hash_check parametresindeki geçersiz UTF-8 karakterleri kullanarak bu kontrolleri atlayabileceğini ortaya koyuyor.
Bu istismar, validasyon sonrası geçersiz karakterleri gererek, hash karşılaştırmasının meşru bir şifre sıfırlama isteği olmadan bile başarılı olmasını sağlayan ESC_ATTR () işlevinin davranışından yararlanır.
Sonuç olarak, saldırganlar idari ayrıcalıklara sahip olanlar da dahil olmak üzere herhangi bir kullanıcı için şifreleri sıfırlayabilir ve site uzlaşmasına yol açar.
Teknik arıza ve yama sunumu
WordFence, 6 Mayıs 2025’te premium, bakım ve yanıt kullanıcıları için bir güvenlik duvarı kuralı dağıtarak hızlı bir şekilde yanıt verdi ve ücretsiz kullanıcılar 5 Haziran 2025’te aynı korumayı aldı.
Bu arada, StyLemixthemes ekibi 5 Mayıs’ta bilgilendirildi, 8 Mayıs’ta sorunu kabul etti ve 14 Mayıs 2025’te 5.6.68 sürümünde bir yama yayınladı ve zamanında eylemleri için övgü aldı.
Kullanıcılar, sömürü riskini azaltmak için derhal bu yamalı versiyona güncellemeleri şiddetle tavsiye edilir.
Bu olay, WordPress tema geliştirmedeki titiz güvenlik uygulamalarının öneminin ve güvenlik açığı araştırmalarının ekosistemin korunmasında kritik rolünün altını çizmektedir.
Sömürme kolaylığı ve site çapında uzlaşma potansiyeli, acil güncellemelerin neden Motors tema kullanıcıları için pazarlık edilemez olduğunu vurgulamaktadır.
WordFence’ın Foxyyy gibi araştırmacılarla işbirliği, güvenlik için proaktif bir yaklaşımı örneklendirir ve bu tür kusurların yaygın hasar gerçekleşmeden önce tanımlanmasını ve ele alınmasını sağlar.
Site yöneticileri ayrıca benzer tehditlere karşı korunmak için güvenlik duvarları ve düzenli yedeklemeler gibi katmanlı güvenlik önlemlerini de dikkate almalıdır.
Motors temasını kullanan birini yönetir veya tanıyorsanız, bu danışma belgesini paylaşmak, felaket ihlali önlemede çok önemli olabilir.
Bu haberi ilginç bul! Anında güncellemeler almak için bizi Google News, LinkedIn ve X’te takip edin!