Kötü Amaçlı Yazılım Önleme Güvenliği ve Brute-Force Güvenlik Duvarı WordPress eklentisinde, 100.000’den fazla web sitesini riske sokan kritik bir güvenlik açığı keşfedildi.
CVE-2025-11705 olarak tanımlanan güvenlik açığı, temel abone düzeyinde erişime sahip kimliği doğrulanmış saldırganların web sunucusunda depolanan herhangi bir dosyayı okumasına olanak tanıyarak veritabanı kimlik bilgileri ve güvenlik anahtarları da dahil olmak üzere hassas verileri potansiyel olarak açığa çıkarıyor.
| Bağlanmak | Detaylar |
| CVE Kimliği | CVE-2025-11705 |
| CVSS Derecelendirmesi | 6,5 (Orta) |
| Güvenlik Açığı Türü | Kimliği Doğrulanmış (Abone+) Keyfi Dosya Okuma için Eksik Yetki |
| Etkilenen Eklenti | Kötü Amaçlı Yazılımlara Karşı Güvenlik ve Brute-Force Güvenlik Duvarı |
Güvenlik Açığı Nasıl Çalışır?
Güvenlik açığı, eklentinin kodundaki, özellikle de kötü amaçlı yazılım tarama sonuçlarını görüntülemek için kullanılan GOTMLS_ajax_scan() işlevindeki eksik yetkilendirme kontrolünden kaynaklanıyor.
İşlev, yetkisiz erişimi önlemek üzere tasarlanmış bir kez koruma içermesine rağmen, abone düzeyinde hesaplara sahip saldırganlar bu güvenlik önlemlerini atlayabilir ve sunucudaki rastgele dosyaları okumak için bu güvenlik açığından yararlanabilir.
Güvenlik açığı özellikle tehlikelidir çünkü düşük seviyeli kullanıcılara, WordPress güvenliği için gerekli olan veritabanı kimlik bilgilerini ve kriptografik güvenlik anahtarlarını içeren wp-config.php gibi kritik dosyalara erişim sağlar.
Güvenlik araştırmacısı Dmitrii Ignatyev bu kusuru keşfetti ve bunu 3 Ekim 2025’te Wordfence Hata Ödül Programı aracılığıyla sorumlu bir şekilde bildirdi ve keşif için 960 ABD doları ödül kazandı.
Eklenti geliştiricisi, Wordfence’in güvenlik açığını doğrulamasından yalnızca iki gün sonra, 15 Ekim 2025’te 4.23.83 numaralı yamalı sürümü yayınladı.
Düzeltme, GOTMLS_kill_invalid_user() işlevi aracılığıyla uygun yetenek kontrolleri uygulayarak yalnızca uygun izinlere sahip kullanıcıların hassas dosya işlemlerine erişebilmesini sağlar. Bu, abonelerin ve diğer düşük ayrıcalıklı kullanıcıların bu güvenlik açığından yararlanmasını engeller.
Wordfence Premium, Care ve Response kullanıcıları, 14 Ekim 2025’te olası istismarlara karşı güvenlik duvarı koruması aldı. Wordfence’in ücretsiz sürümünün kullanıcıları, standart 30 günlük gecikmenin ardından 13 Kasım 2025’te aynı korumayı alacak.
Kötü Amaçlı Yazılım Önleme Güvenliği ve Brute-Force Güvenlik Duvarı eklentisini kullanan web sitesi yöneticileri, sitelerini kötüye kullanıma karşı korumak için derhal 4.23.83 veya sonraki bir sürüme güncelleme yapmalıdır.
Güvenlik açığı, 4.23.81’e kadar (4.23.81 dahil) tüm sürümleri etkileyerek, zamanında yapılan güncellemeleri web sitesi güvenliğinin korunması açısından kritik hale getiriyor.
Bu olay, düzenli eklenti güncellemelerinin ve güvenlik tavsiyelerinin izlenmesinin önemini vurgulamaktadır.
Site sahipleri, hassas sunucu dosyalarına yetkisiz erişimi önlemek ve WordPress kurulumlarının bütünlüğünü korumak için eklenti sürümlerini doğrulamalı ve güncellemeleri derhal uygulamalıdır.
Anında Güncellemeler Almak ve GBH’yi Google’da Tercih Edilen Kaynak Olarak Ayarlamak için bizi Google Haberler, LinkedIn ve X’te takip edin.