Elementor için King Eklentileri olarak bilinen bir WordPress eklentisini etkileyen kritik bir güvenlik açığı, vahşi ortamda aktif olarak istismar ediliyor.
Güvenlik açığı, CVE-2025-8489 (CVSS puanı: 9,8), kimliği doğrulanmamış saldırganların kayıt sırasında yalnızca yönetici kullanıcı rolünü belirterek kendilerine yönetici ayrıcalıkları vermelerine olanak tanıyan bir ayrıcalık yükseltme durumudur.
24.12.92’den 51.1.14’e kadar olan sürümleri etkiler. Bakımcılar tarafından 25 Eylül 2025’te yayınlanan 51.1.35 sürümünde yama uygulandı. Güvenlik araştırmacısı Peter Thaleikis, kusuru keşfetme ve bildirme konusunda itibar kazandı. Eklentinin 10.000’den fazla aktif kurulumu var.
Wordfence bir uyarıda, “Bunun nedeni, eklentinin kullanıcıların kaydolabileceği rolleri düzgün şekilde kısıtlamamasıdır.” dedi. “Bu, kimliği doğrulanmamış saldırganların yönetici düzeyindeki kullanıcı hesaplarına kaydolmasını mümkün kılıyor.”
Sorun özellikle kullanıcı kaydı sırasında çağrılan “handle_register_ajax()” işlevinden kaynaklanıyor. Ancak işlevin güvenli olmayan bir şekilde uygulanması, kimliği doğrulanmamış saldırganların “/wp-admin/admin-ajax.php” uç noktasına yönelik hazırlanmış bir HTTP isteğinde kendi rollerini “yönetici” olarak belirleyebilmeleri ve böylece yükseltilmiş ayrıcalıklar elde edebilmeleri anlamına geliyordu.
Güvenlik açığının başarılı bir şekilde kullanılması, kötü niyetli bir kişinin eklentiyi yükleyen duyarlı bir sitenin kontrolünü ele geçirmesine ve kötü amaçlı yazılım dağıtabilecek, site ziyaretçilerini yarım yamalak sitelere yönlendirebilecek veya spam enjekte edebilecek kötü amaçlı kod yükleme erişimini silah haline getirmesine olanak tanıyabilir.
Wordfence, kusurun Ekim 2025’in sonlarında kamuya açıklanmasından bu yana 48.400’den fazla istismar girişimini engellediğini ve yalnızca son 24 saat içinde 75 girişimin engellendiğini söyledi. Saldırılar aşağıdaki IP adreslerinden kaynaklandı:
- 45.61.157.120
- 182.8.226.228
- 138.199.21.230
- 206.238.221.25
- 2602:fa59:3:424::1
WordPress güvenlik şirketi, “Saldırganlar bu güvenlik açığını 31 Ekim 2025 gibi erken bir tarihte aktif olarak hedeflemeye başlamış olabilir ve toplu sömürü 9 Kasım 2025’ten itibaren başlamış olabilir” dedi.
Site yöneticilerinin, eklentinin en son sürümünü çalıştırdıklarından emin olmaları, ortamlarını şüpheli yönetici kullanıcılar açısından denetlemeleri ve herhangi bir anormal etkinlik belirtisi olup olmadığını izlemeleri önerilir.