WordPress Üyelik Eklentisindeki Kritik Açık Saldırganların Yönetici Hesabı Oluşturmasına Yol Açtı

WordPress sitelerinde yaygın olarak kullanılan tek üyelik eklentisinde ortaya çıkan eleştirel güvenlik açığı etkin olarak istismar ediliyor. Güvenlik araştırmacıları saldırganların bu açık sayesinde kişilik doğrulaması olmadan yönetici hesabı oluşturabildiğini açıkladı. Açık özellikle kullanıcı kayıt işlemleri üzerinden ytesir yükseltme imkânı sağladığı için vahim tek güvenlik riski oluşturuyor.

WordPress Üyelik Eklentisindeki Güvenlik Açığı Ytesir Yükseltmeye Neden Oluyor

WPEverest tarafından geliştirilen User Registration & Membership eklentisi kullanıcı kayıt yönetimi ile üyelik sistemi oluşturmak için kullanılıyor. Eklenti PayPal ile Stripe ödeme entegrasyonu, özel kayıt formları, banka transferi desteği ile çözümleme araçları gibi özellikler sunuyor. WordPress ekosisteminde 60 binden fazla siteler bu eklentiyi etkin şekilde kullanıyor.

Araştırmacılar eklentideki güvenlik açığını CVE-2026-1492 koduyla takip ediyor. Güvenlik açığı eleştirel düzey olan 9.8 puanla değerlendirildi. Açık kullanıcı kayıt sürecinde görev malumatsinin doğrudan kullanıcı tarafından belirlenebilmesine dayanıyor. Saldırganlar bu mekanizmayı kullanarak doğrulama süreci olmadan yönetici ytesirsine malik hesap oluşturabiliyor.

WordPress sisteminde yönetici hesabı en yüksek erişim ytesirsini sağlıyor. Yönetici ytesirsine malik tek kullanıcı eklenti ile temalar kurabiliyor, PHP kodunu düzenleyebiliyor, güvenlik ayarlarını değiştirebiliyor. Aynı ytesirler saldırganların siteler sahiplerini sistemden tamamlanmış dışlamasına da müsaade veriyor.

Saldırganlar yönetici erişimi elde ettiğinde sitenin veritabanındaki kullanıcı malumatlerine ulaşabiliyor. Saldırganlar ayrıca siteye zararlı şifre ekleyerek ziyaretçilere kötü amaçlı yazılım dağıtabiliyor. Güvenlik uzmanları bu nedenle açık kapatılana kadar sitelerin titiz olması lüzumtiğini belirtiyor.

WordPress güvenlik şirketi Defiant araştırmacıları oğullar 24 zaman içinde bu açığı hedefleri saha 200’den fazla saldırı girişimini manilediğini açıkladı. Defiant aynı zamanda WordPress için yaygın kullanılan Wordfence güvenlik eklentisinin geliştiricisi olarak biliniyor.

Araştırmacılar güvenlik açığının User Registration & Membership eklentisinin 5.1.2 sürümüne kadar olan tüm versiyonlarını tesirlediğini belirtiyor. Geliştirici takım güvenlik açığını 5.1.3 sürümünde düzeltti. Eklentinin en güncel sürümü olan 5.1.4 versiyonu ise geçtiğimiz hafta yayınlandı.

Güvenlik uzmanları WordPress siteler yöneticilerinin eklentiyi en güncel sürüme yükseltmesini öneriyor. Güncelleme yapılamayan durumlarda uzmanlar eklentinin geçici olarak devre dışı bırakılmasını öneri ediyor.

WordPress siteleri uzunluğu süredir saldırganların hedefinde bulunuyor. Saldırganlar WordPress altyapısını kötü amaçlı yazılım dağıtımı, kişilik avı saldırıları, emir denetim sunucuları barındırma ya da çalınmış verileri depolar amacıyla kullanabiliyor.