100.000’den fazla siteye yüklenen WordPress için Kötü Amaçlı Yazılımdan Koruma ve Brute-Force Güvenlik Duvarı eklentisi, abonelerin sunucudaki herhangi bir dosyayı okumasına olanak tanıyan ve potansiyel olarak özel bilgilerin açığa çıkmasına olanak tanıyan bir güvenlik açığına sahiptir.
Eklenti, kötü amaçlı yazılım taraması ve kaba kuvvet saldırılarına, bilinen eklenti kusurlarının kullanılmasına ve veritabanı enjeksiyon girişimlerine karşı koruma sağlar.
CVE-2025-11705 olarak tanımlanan güvenlik açığı, araştırmacı Dmitrii Ignatyev tarafından Wordfence’e bildirildi ve eklentinin 4.23.81 ve önceki sürümlerini etkiliyor.
Sorun, yetenek kontrollerinin eksik olmasından kaynaklanıyor. GOTMLS_ajax_scan() Saldırganların elde edebileceği bir nonce kullanarak AJAX isteklerini işleyen işlev.
Bu gözetim, işlevi çalıştırabilen düşük ayrıcalıklı bir kullanıcının, sunucudaki hassas veriler de dahil olmak üzere rastgele dosyaları okumasına olanak tanır. wp-config.php veritabanı adını ve kimlik bilgilerini saklayan yapılandırma dosyası.
Bir saldırgan, veritabanına erişim sağlayarak şifre karmalarını, kullanıcıların e-postalarını, gönderilerini ve diğer özel verilerini (ve güvenli kimlik doğrulama için anahtarları ve tuzları) çıkarabilir.
Güvenlik açığının ciddiyeti kritik olarak görülmese de, istismar için kimlik doğrulama gerektiğinden, birçok web sitesi kullanıcıların abone olmasına ve sitenin yorumlar gibi çeşitli bölümlerine erişimlerini artırmasına olanak tanır.
Her türlü üyelik veya abonelik sunan, kullanıcıların hesap oluşturmasına olanak tanıyan, gereksinimleri karşılayan ve CVE-2025-11705’ten yararlanan saldırılara karşı savunmasız olan siteler.
Wordfence, 14 Ekim’de WordPress.org Güvenlik Ekibi aracılığıyla sorunu satıcı Eli’ye doğrulanmış bir kavram kanıtlama istismarıyla birlikte bildirdi.
15 Ekim’de geliştirici, yeni bir ‘GOTMLS_kill_invalid_user()’ işlevi aracılığıyla uygun bir kullanıcı yeteneği kontrolü ekleyerek CVE-2025-11705’i ele alan eklentinin 4.23.83 sürümünü yayınladı.
WordPress.org istatistiklerine göre, yaklaşık 50.000 web sitesi yöneticisi piyasaya sürülmesinden bu yana en son sürümü indirdi; bu da eşit sayıda sitenin eklentinin savunmasız bir sürümünü çalıştırdığını gösteriyor.
Şu anda Wordfence açık alanda istismar belirtisi tespit etmedi ancak sorunun kamuya açıklanması saldırganların dikkatini çekebileceğinden yamanın uygulanması şiddetle tavsiye edilir.
Ortamların %46’sında şifreler kırıldı; bu oran geçen yılki %25’ten neredeyse iki katına çıktı.
Önleme, tespit ve veri hırsızlığı eğilimlerine ilişkin daha fazla bulguya kapsamlı bir bakış için Picus Blue Report 2025’i hemen edinin.