Popüler “yalnız” WordPress temasındaki kritik bir uzaktan kod yürütme (RCE) güvenlik açığı, savunmasız web sitelerinin tam kontrolünü almak için saldırganlar tarafından aktif olarak kullanılmaktadır.
Maksimum CVSS skoru 9.8 olan CVE-2025-5394 atanan güvenlik açığı, hayırseverlik odaklı temanın 7.8.3 ve altındaki sürümleri kullanarak 9.000’den fazla siteyi etkiler.
Key Takeaways
1. Critical RCE flaw in the Alone WordPress theme allows full site takeover.
2. 120,900+ active attacks deploying malicious backdoors since July 12th.
3. Update immediately if using older versions.
WordPress eklentisinin teknik detayları güvenlik açığı
Güvenlik açığı, tema kurulumu sırasında eklenti kurulumlarını işleyen tek başına_import_pack_install_plugin () işlevindeki eksik bir özellik kontrolünden kaynaklanır.
Kusurlu kod, kimlik doğrulanmamış saldırganların uzak kaynaklardan eklentiler olarak gizlenen keyfi dosyaları yüklemek için WP_AJAX_NOPRIV_ALone_Import_Pack_INSTALL_Plugin Ajax eyleminden yararlanmasına izin verir.
Savunmasız işlev, verileri uygun kimlik doğrulaması olmadan işler işler:
Bu tasarım kusuru, saldırganların /wp-admin/admin-ajax.php?Action=alone_import_pack_install_plugin adresine hazırlanmış istekler göndererek web kabukları ve arka kapılar içeren kötü niyetli eklentiler yüklemelerini sağlar.
Güvenlik açığı, Plugin_Source parametresi aracılığıyla hem yerel eklenti sümüklü böceklerini hem de uzaktan kaynaklara izin verir ve bu da sömürü siber suçlular için önemsiz hale getirir.
| Risk faktörleri | Detaylar |
| Etkilenen ürünler | Yalnız-Sadaka Çok Amaçlı Kâr Amacı Gütmeyen WordPress Teması ≤ 7.8.3 |
| Darbe | Uzaktan Kod Yürütme (RCE), tam site devralma |
| Önkoşuldan istismar | Kimlik doğrulanmamış sömürü mümkün |
| CVSS 3.1 puanı | 9.8 (kritik) |
Tema RCE güvenlik açığı aktif olarak sömürü
Sömürü, güvenlik açığının kamu açıklamasından iki gün önce 12 Temmuz 2025’te başladı ve saldırganların yeni sabit güvenlik sorunları için yazılım yamalarını izlediğini gösteriyor.
WordFence güvenlik araştırmacıları, izleme başladığından beri 120.900’den fazla engellenmiş istismar girişimini belgeledi.
Saldırganlar, WP-Classic-editor.zip ve arka plan-image-cropper.zip gibi adlarla kötü amaçlı zip dosyaları aracılığıyla gelişmiş kötü amaçlı yazılımlar dağıtır. Yakalanan bir arka kapı örneği tipik gizleme tekniklerini gösterir:
En aktif saldıran IP adresleri arasında 193.84.71.244 (39.900+ istek) ve 87.120.92.24 (37.100+ istek) bulunmaktadır. Saza yükleri barındıran kötü amaçlı alan adları cta.imasync içerir[.]com ve klişe[.]Ru.
Web sitesi yöneticileri, güvenlik açığını yamalayan 7.8.5 veya sonraki tema sürümünü hemen güncellemelidir. WordFence Güvenlik Duvarı kullanıcıları 30 Mayıs 2025’te 29 Haziran’dan itibaren ücretsiz katmanlı kullanıcılarla koruma kuralları aldı.
Güvenlik ekipleri, şüpheli eklenti kurulumları için /wp-content /eklentileri ve /wp-content /yükseltme dizinlerini incelemeli ve istismar modelini eşleştiren istekler için erişim günlüklerini incelemelidir.
Integrate ANY.RUN TI Lookup with your SIEM or SOAR To Analyses Advanced Threats -> Try 50 Free Trial Searches