WordPress Alone temasında kritik dosya yükleme açığı: Binlerce site uzaktan ele geçirildi
WordPress güvenlik firması Wordfence, Alone teması üzerinden gerçekleştirilen kimlik doğrulaması gerektirmeyen dosya yükleme saldırılarının tüm dünyada 120 binden fazla deneme ile yaygınlaştığını duyurdu. Uygulanan saldırılar, tam site kontrolü sağlayan arka kapılar içeriyor.
WordPress Alone Temasında Kritik Güvenlik Açığı Aktif Olarak İstismar Ediliyor
Siber saldırganlar, WordPress’in yaygın kullanılan Alone temasında tespit edilen CVE-2025-5394 kodlu kritik açığı aktif şekilde istismar ediyor. Bu zafiyet, uzaktan kimlik doğrulaması olmadan rastgele dosya yüklenmesine ve siteye tam erişim sağlanmasına yol açıyor.
Saldırı Yöntemi ve Etkileri
Wordfence tarafından tespit edilen saldırılar, Alone temasının alone_import_pack_install_plugin() işlevindeki güvenlik kontrol eksikliğinden kaynaklanıyor. Bu işlev, WordPress’teki wp_ajax_nopriv_ kancası aracılığıyla yetkisiz kullanıcıların dış URL’lerden eklenti kurmasına izin veriyor.
Saldırganlar, bu açığı kullanarak şifre korumalı PHP arka kapılar, ZIP arşivlerine gizlenmiş web shell’ler veya veritabanına erişim sağlayan dosya yöneticileri yüklüyor. Ayrıca, gizli yönetici hesapları oluşturularak kalıcı erişim sağlanıyor.
İstatistikler ve Tespit Edilen Saldırılar
Wordfence, açığın kamuya açıklanmasından önce saldırıların başladığını ve şu ana kadar 120 binden fazla istismar girişiminin engellendiğini açıkladı. Saldırı belirtileri arasında yeni yönetici kullanıcıların oluşması, şüpheli ZIP dosyaları ve olağandışı admin-ajax.php?action=alone_import_pack_install_plugin HTTP istekleri yer alıyor.
Engellenmesi Önerilen IP Adresleri
- 193.84.71.244
- 87.120.92.24
- 146.19.213.18
- 2a0b:4141:820:752::2
Sistem yöneticilerinin bu IP adreslerini engellemesi öneriliyor.
Yama ve İletişim Problemi
Alone temasının 7.8.3 ve önceki sürümleri saldırıya açık durumda. Geliştirici Bearsthemes, 16 Haziran 2025’te 7.8.5 sürümüyle açığı yamaladı. Ancak Wordfence, ilk bildirimi 30 Mayıs’ta yapmasına rağmen geliştiriciden yanıt alamadığı için durumu 12 Haziran’da Envato Market ekibine iletmek zorunda kaldı.
Temanın Kullanım Alanları ve Benzer Olaylar
Alone teması, Envato pazarında yaklaşık 10 bin satışa sahip olup, özellikle yardım kuruluşları, sivil toplum örgütleri ve bağış platformları tarafından tercih ediliyor.
Geçen ay, Motors adlı başka bir popüler WordPress temasında da kullanıcı doğrulama açığı kullanılarak site yöneticisi hesapları ele geçirilmişti.
Uzmanlar, WordPress kullanıcılarını temaların yanı sıra eklenti ve çekirdek bileşenleri düzenli olarak güncellemeleri konusunda uyarıyor.
Kaynak: CUMHA - CUMHUR HABER AJANSI
Tepkiniz Nedir?
