Popüler Anti-Malware Security and Brute-Force Firewall eklentisinde keşfedilen açık, abonelerin sunucudaki dosyaları görüntülemesine izin veriyor. 100 binden fazla sitede kullanılan eklentinin eski sürümleri, kullanıcı verilerini ve veritabanı bilgilerini tehlikeye atıyor.
CVE-2025-11705 koduyla kayda geçti
Siber güvenlik araştırmacısı Dmitrii Ignatyev tarafından keşfedilen güvenlik açığı, CVE-2025-11705 olarak kayda geçti. Söz konusu açık, 4.23.81 ve önceki sürümlerini etkiliyor.
Eklenti, WordPress sitelerini kötü amaçlı yazılımlara, brute-force saldırılarına ve SQL enjeksiyonlarına karşı koruma sağlarken, yapılan analizler “GOTMLS_ajax_scan()” adlı işlevde yetkilendirme kontrolü eksikliği bulunduğunu ortaya koydu.
Bu eksiklik, düşük yetkili kullanıcıların (örneğin site abonelerinin), sunucudaki herhangi bir dosyayı okuyabilmesine yol açıyor.
Kritik dosyalar tehlikede
Saldırganlar bu açıklığı kullanarak sitenin wp-config.php gibi hassas dosyalarına erişebiliyor. Bu dosyalarda veritabanı adı, kullanıcı adı ve şifreler yer aldığı için, bir saldırgan site veritabanına bağlanarak:
-
Kullanıcı e-posta adreslerini,
-
Şifre özetlerini (hash),
-
Yazı ve medya içeriklerini,
-
Kimlik doğrulama anahtarlarını (salt & keys)
ele geçirebiliyor.
WordPress üyelik sistemi açık kapı oluşturuyor
Açığın “yüksek riskli” olarak değerlendirilmemesinin nedeni, saldırının kimlik doğrulaması gerektirmesi. Ancak birçok WordPress sitesinin abonelik ve yorum sistemi aracılığıyla kullanıcıların hesap oluşturmasına izin vermesi, bu açığı pratikte tehlikeli hale getiriyor.
Yani, siteye kayıt olabilen her kullanıcı, istismar kodunu çalıştırarak özel dosyalara erişim sağlayabiliyor.
Güncelleme yayınlandı: 4.23.83 sürümüne geçin
Güvenlik şirketi Wordfence, açığı 14 Ekim’de eklenti geliştiricisi Eli’ye bildirdi. Geliştirici, bir gün sonra 4.23.83 sürümünü yayımlayarak problemi giderdi.
Yeni sürümde, “GOTMLS_kill_invalid_user()” adlı işlev ile kullanıcı yetki kontrolü eklendi.
WordPress.org verilerine göre, şu ana kadar yalnızca 50 bin site yöneticisi güncellemeyi yükledi. Bu da diğer 50 bin sitenin hâlâ savunmasız olduğu anlamına geliyor.
Henüz saldırı tespit edilmedi ama risk büyük
Wordfence, şu ana kadar açığın aktif şekilde istismar edildiğine dair bir bulguya rastlamadığını bildirdi. Ancak açığın kamuoyuna açıklanmış olması, siber saldırganların dikkatini çekme riskini artırıyor.
Uzmanlar, site sahiplerine derhal eklentiyi 4.23.83 sürümüne güncellemelerini ve sunucu erişim izinlerini kontrol etmelerini tavsiye ediyor.