Kritik bir kimlik doğrulama Bypass Güvenlik Açığı Vaka teması kullanıcı WordPress eklentisi, önemli bir güvenlik tehdidi olarak ortaya çıkmış ve kimlik doğrulanmamış saldırganların sosyal giriş işlevselliğini kullanarak web sitelerine idari erişim kazanmalarına izin verir.
CVSS skoru 9.8 ile CVE-2025-5821 olarak izlenen güvenlik açığı, eklentinin tüm sürümlerini 1.0.3’e kadar etkiler ve dünya çapında tahmini 12.000 aktif kurulumu etkiler.
Güvenlik kusuru, kötü niyetli aktörlerin, hedefin e-posta adresini bildikleri veya keşfedebilmeleri koşuluyla, yönetici düzeyinde ayrıcalıklar da dahil olmak üzere herhangi bir kullanıcı hesabına yetkisiz erişim sağlayarak kimlik doğrulama mekanizmalarını tamamen atlamalarını sağlar.
Bu güvenlik açığını özellikle tehlikeli kılan şey, sadeliğidir – saldırılar, sofistike araçlar veya kapsamlı teknik bilgiler gerektirmeden basit HTTP istekleri yoluyla kullanabilir.
Aktif sömürü, güvenlik açığının 22 Ağustos 2025’teki kamu açıklamasından hemen sonra başladı ve tehdit aktörleri ertesi gün saldırılar başlattı.
WordFence analistleri, böcek ödül programı aracılığıyla güvenlik açığını belirlediler ve güvenlik firmasının güvenlik duvarının bu özel zayıflığı hedefleyen 20.900’den fazla istismar girişimini zaten engellediğini belirtti.
Hızlı sömürü başlangıcı, kırılganlığın WordPress sitelerine hızlı erişim arayan siber suçlulara hitapını göstermektedir.
Eklenti, saldırı yüzeyini bağımsız kurulumların ötesine önemli ölçüde genişleterek çoklu premium temalarla birlikte paketlenmiştir.
Saldırganlar, gibi ortak kalıpları kullanarak idari e -posta adreslerini tahmin etmeye çalışırken gözlendi. [email protected]- [email protected]Ve [email protected]birden fazla hedefte sömürü için sistematik bir yaklaşım önermek.
Sömürü mekanizması ve kod analizi
Güvenlik açığı, case_theme_user_ajax sınıfındaki facebook_ajax_login_callback () işlevindeki kusurlu mantıktan kaynaklanır.
.webp)
Sömürü süreci (kaynak – wordFence)
İşlev, sağlanan e -posta adreslerine dayalı kullanıcı hesapları oluşturarak sosyal oturum açma isteklerini işler, ancak erişim vermeden önce kimlik doğrulama durumunu doğru bir şekilde doğrulayamaz.
İstismar işlemi iki farklı aşama içerir. Başlangıçta, saldırganlar, Facebook_ajax_login olarak ayarlanan eylem parametresi ile /wp-admin/admin-ajax.php adresine bir isteği aracılığıyla kendi e-posta adreslerini kullanarak geçici bir kullanıcı hesabını kaydederler.
Kötü niyetli yük, veriler gibi fabrikasyon Facebook kullanıcı verilerini içerir[name]= sıcaklık ve veriler[email][email protected]meşru bir kullanıcı oturumu oluşturma.
İkinci aşamada, saldırganlar aynı geçici kullanıcı adını kullanarak ancak mağdurun e -posta adresini değiştirerek başka bir talepte bulunarak hedef mağdur olarak kimlik doğrulaması yapmak için yerleşik oturumu kullanırlar.
Savunmasız kod, orijinal kimlik doğrulama jetonunu doğrulamak yerine kullanıcıyı e -posta ile alır ve oturum ayrıcalıklarını hedef hesaba etkin bir şekilde aktarır.
1.0.4 sürümünde yayınlanan yama, erişim hakları verilmeden önce uygun kimlik doğrulama doğrulaması uygulayarak bu mantık kusurunu ele alır.
Web sitesi yöneticileri derhal en son sürüme güncellenmeli ve 2602: FFC8: 2: 105: 216: 3CFF: FE96: 129F ve 146.70.186.142 dahil olmak üzere bilinen kötü amaçlı IP adreslerinden kaynaklanan şüpheli AJAX istekleri için erişim günlüklerini gözden geçirmelidir.
Free live webinar on new malware tactics from our analysts! Learn advanced detection techniques -> Register for Free