WordPress için vaka teması kullanıcı eklentisindeki kritik bir güvenlik açığı, kimlik doğrulanmamış saldırganların sosyal giriş özelliğinden yararlanarak idari hesaplar da dahil olmak üzere savunmasız sitelerdeki herhangi bir hesabı kaçırmasına olanak tanır. Site sahiplerinin hemen güncellenmesi istenir.
31 Mayıs 2025’te WordFence Intelligence, tema kullanıcısında sosyal oturum açma güvenlik açığı yoluyla bir kimlik doğrulama bypass raporu, yaklaşık 12.000 WordPress sitesine yüklenen ve Themeforest aracılığıyla satılan birden fazla prim temasında paketlenmiş bir eklenti aldı.
CVE-2025-5821 olarak izlenen ve 9.8 (kritik) CVSS skoru atanan güvenlik açığı, 1.0.3’e kadar ve dahil olmak üzere tüm eklenti sürümlerini etkiler.
Kullanılansa, bir saldırganın yalnızca bilinen bir e -posta adresi sağlayarak kayıtlı herhangi bir kullanıcı olarak oturum açmasını sağlar.
Güvenlik Açığı Nasıl Çalışır?
Sorun eklentinin facebook_ajax_login_callback() işlev Case_Theme_User_Ajax Facebook tabanlı sosyal girişi gerçekleştiren sınıf.
Tasarım gereği, işlev AJAX aracılığıyla sağlanan kullanıcı verilerini doğrular, ancak kusurlu mantık nedeniyle, eşleşen bir kullanıcı adı zaten varsa, kullanıcıyı tek başına verilen e -postaya göre doğrular.
Bir saldırgan önce eklentinin varsayılan kayıt işlemi aracılığıyla kendi e -postalarını kullanarak geçici bir hesap kaydedebilir.
Daha sonra, Ajax isteğinde kurbanın e -posta adresini göndererek saldırgan tetiklenir wp_set_auth_cookie() Bu e -postaya bağlı hesap için – kurbanın Facebook kimlik bilgilerinin sahipliğini hiç kanıtlamasalar bile.
Bu, kurbanın hesabına derhal erişim sağlar.
Tam istismar zinciri basittir:
- Saldırgan, kendi e -postalarıyla sosyal giriş yoluyla geçici bir kullanıcıyı kaydeder.
- Saldırgan bir Ajax isteği verir
admin-ajax.phpeylemlefacebook_ajax_logineklenti nonce, fabrikasyon bir Facebook kullanıcı adı ve kurbanın e -postası. - Eklenti, uygun kimlik doğrulamasını atlar ve kurbanın hesabı için geçerli bir WordPress kimlik doğrulama çerezi ayarlar.
Örnek sömürü denemeleri, ortak adres permütasyonlarında bisiklete binmek için saldırganları gösterir – [email protected]– [email protected]veya [email protected]– Geçerli yönetici e -postaları keşfetmek ve kontrol kazanmak.
Hafifletme
WordFence, eklentiyi 13 Ağustos 2025’te yamaladı ve 1.0.4 sürümünü yayınladı. Güvenlik açığı 22 Ağustos’ta kamuya açıklandı ve sömürü girişimleri, WordFence güvenlik duvarının kötü niyetli Ajax çağrılarını engellemeye başladığı 23 Ağustos’un başlarında gözlemlendi.
Kullanıcıları korumak için, bu saldırıya karşı güvenlik duvarı kuralları, standart güvenlik açığı işleme prosedürlerini izleyerek 10 Haziran’da WordFence prim, bakım ve yanıt müşterilerine dağıtıldı. Ücretsiz kullanıcılar 10 Temmuz’da 30 günlük bir gecikmeden sonra aynı korumayı aldı.
Kamu açıklamasından bu yana, WordFence güvenlik duvarı bu güvenlik açığını hedefleyen 20.900’den fazla istismar girişimini engelledi.
Saldırı trafiği 26 Ağustos 30 Ağustos ve 2 Eylül’de zirve yaptı ve aktif tehdit aktör ilgisini gösterdi. Bloke edici verilerin analizi, en çok rahatsız edici IP adreslerinin şunları içerir:
- 2602: FFC8: 2: 105: 216: 3CFF: Fe96: 129f (6.300’den fazla engellenmiş istek).
- 146.70.186.142 (5.700’den fazla engellenmiş istek).
- 107.175.179.8 (5.000’den fazla engellenmiş istek).
- 2602: FFC8: 2: 105: 216: 3CFF: FE40: 4B78 (2.400’den fazla engellenmiş istek).
- 89.117.42.68 (500’den fazla engellenmiş istek).
Vaka teması kullanan tüm site yöneticileri, gecikmeden 1.0.4 sürümüne yükseltilmelidir. Bu güncellemenin uygulanamaması, siteleri tam hesap devralma, ayrıcalık yükseltme ve tam site uzlaşmasına karşı savunmasız bırakır.
Güncellemeye ek olarak, site sahipleri WordFence güvenlik duvarı kurallarının aktif olduğunu doğrulamalı ve sömürü deneme belirtileri için engellenen olay günlüklerini gözden geçirmelidir.
Yamalı eklentiyi derhal kurarak ve güçlü güvenlik duvarı korumalarını koruyarak, WordPress site operatörleri, sosyal giriş yoluyla kimlik doğrulamasını atlamak ve hem normal hem de idari kullanıcı hesaplarını korumak isteyen saldırganları engelleyebilir. Sürekli uyanıklık ve zamanında güncellemeler WordPress güvenliğinin temel taşı olmaya devam etmektedir.
Bu hikayeyi ilginç bul! Daha fazla güncelleme almak için bizi LinkedIn ve X’te takip edin.