WordPress için geliştirilen Anti-Malware Security and Brute-Force Firewall eklentisinde ortaya çıkan yeni bir güvenlik açığı, abonelere sunucu üzerindeki özel dosyaları okuma imkânı tanıyor. 100 binden fazla sitede kullanılan eklentideki zafiyet, saldırganların veritabanı bilgileri de dâhil olmak üzere gizli verilere erişmesine yol açabiliyor.
Eklentideki Hata Yetki Kontrol Eksikliğinden Kaynaklanıyor
CVE-2025-11705 olarak tanımlanan güvenlik açığı, siber güvenlik araştırmacısı Dmitrii Ignatyev tarafından keşfedildi. Araştırma, Wordfence ekibine bildirilerek WordPress.org Güvenlik Ekibi’ne iletildi. Hata, eklentinin GOTMLS_ajax_scan() adlı fonksiyonunda yer alan eksik yetkilendirme kontrolünden kaynaklanıyor. Bu eksiklik, saldırganların sistemde yer alan özel dosyaları yetkisiz biçimde görüntülemesine zemin hazırlıyor.
Eklentideki güvenlik kontrolü atlandığında, düşük yetkili bir kullanıcı bile wp-config.php gibi hassas dosyalara erişebiliyor. Bu dosyada veritabanı adı, kullanıcı bilgileri ve erişim anahtarları gibi kritik bilgiler yer alıyor. Saldırganlar bu verileri kullanarak şifre özetlerini, e-posta adreslerini ve siteye ait diğer özel bilgileri ele geçirebiliyor.
Söz konusu açık, yalnızca kimlik doğrulaması yapılmış kullanıcılar tarafından kullanılabildiği için kritik seviyede değerlendirilmiyor. Ancak kullanıcı kaydı veya yorum bölümü gibi abonelik sistemine sahip WordPress siteleri, doğrudan risk altında bulunuyor. Bu tür sitelerde düşük yetkili kullanıcılar eklentiye ait AJAX işlevini çalıştırarak özel verilere erişim sağlayabiliyor.
Eklentinin geliştiricisi Eli, bildirimin ardından hızlı biçimde 4.23.83 sürümünü yayınladı. Yeni sürümde, GOTMLS_kill_invalid_user() adlı fonksiyonla ek yetki kontrolü eklendi. Bu değişiklik, saldırganların fonksiyona yetkisiz biçimde erişmesini engelliyor. WordPress.org istatistiklerine göre güncelleme yayımlandıktan sonra yaklaşık 50 bin site yöneticisi yeni sürümü indirdi. Yine de aynı sayıda sitenin eski sürümü kullanmaya devam ettiği tahmin ediliyor.
Wordfence, açığın hâlihazırda kötüye kullanıldığına dair bir bulguya rastlamadığını açıkladı. Ancak güvenlik araştırmacıları, zafiyetin kamuya açıklanmasının ardından saldırganların ilgisini çekebileceğini belirtiyor. Uzmanlar, site sahiplerine eklentiyi en son sürüme yükseltmelerini ve kullanıcı yetkilerini gözden geçirmelerini tavsiye ediyor.
