Popüler WordPress eklentisi Avada Builder'da keşfedilen iki yeni güvenlik açığı, yaklaşık 1 milyon siteyi ciddi saldırılara karşı savunmasız bırakıyor. Wordfence araştırmacıları tarafından 12 Mayıs'ta yayımlanan analize göre, bağımsız araştırmacı Rafie Muhammad tarafından 21 Mart'ta Wordfence Hata Ödül Programı aracılığıyla bildirilen bu açıklar, yetkisiz dosya okuma ve SQL enjeksiyonu saldırılarına olanak tanıyor. Özellikle WooCommerce kullanıcıları için daha büyük bir tehdit oluşturan bu güvenlik zafiyetleri, site sahiplerinin acil önlem almasını gerektiriyor.
İlk güvenlik açığı, CVE-2026-4782 koduyla takip edilen ve CVSS puanı 6.5 olan bir keyfi dosya okuma zafiyetidir. Bu açık, eklentinin fusion_get_svg_from_file fonksiyonunda bulunuyor ve fusion_section_separator kısa kodu aracılığıyla, custom_svg parametresi sağlandığında tetikleniyor. Fonksiyon herhangi bir dosya türü veya kaynak doğrulaması yapmadığı için, abone seviyesinde erişimi olan kimliği doğrulanmış kullanıcılar, sunucudaki hassas dosyaları okuyabiliyor. Bu dosyalar arasında WordPress veritabanı kimlik bilgilerini, şifreleme anahtarlarını ve tuzları içeren wp-config.php dosyası da yer alıyor.
İkinci ve daha kritik açık ise CVE-2026-4798 koduyla izlenen, 7.5 puanlık, kimlik doğrulaması gerektirmeyen zaman tabanlı bir SQL enjeksiyonudur. Bu açık, product_order parametresinde bulunuyor. Eklenti, girdi üzerinde sanitize_text_field() fonksiyonunu çağırsa da, bu fonksiyon SQL enjeksiyonuna karşı koruma sağlamıyor. ORDER BY yan tümcesi, WordPress'in prepare() kaçış fonksiyonu kullanılmadan doğrudan sorguya ekleniyor. Ancak bu açık, yalnızca daha önce WooCommerce kurulup daha sonra kaldırıldığı sitelerde istismar edilebiliyor.
Wordfence, güvenlik açıklarını 24 ve 25 Mart'ta Avada ekibine bildirdi. Geliştirici aynı gün düzeltme üzerinde çalışmaya başladı ve 13 Nisan'da 3.15.2 sürümüyle ilk yamayı yayımladı. Tam düzeltme ise 12 Mayıs'ta 3.15.3 sürümüyle kullanıma sunuldu. Wordfence, site sahiplerine güncellemeyi gecikmeden uygulamaları çağrısında bulunuyor. Ayrıca, site yöneticilerinin açıkların doğası nedeniyle bazı önleyici tedbirler alması öneriliyor: Bildirim dönemi civarında oluşturulan abone hesaplarının denetlenmesi, wp-config.php'de saklanan kimlik bilgilerinin değiştirilmesi ve etkilenen kısa koda referans veren olağandışı admin-ajax.php trafiğinin kontrol edilmesi.
Önemli Gelişmeler
Bu güvenlik açıkları, Avada Builder'ın geçmişte de benzer sorunlar yaşadığını gösteriyor. Wordfence'in kayıtlarına göre, bu eklentide daha önce de çeşitli zafiyetler tespit edilmişti. Site sahiplerinin, eklentilerini düzenli olarak güncellemeleri ve güvenlik açıklarına karşı dikkatli olmaları büyük önem taşıyor. Özellikle popüler eklentiler, siber saldırganların hedefi haline geldiğinden, güncellemeleri atlamak ciddi sonuçlar doğurabiliyor.
Nasıl Önlem Alınmalı?
Avada Builder kullanıcıları için en önemli tavsiye, eklentiyi en son sürüme (3.15.3) güncellemektir. Ayrıca, sitenizde WooCommerce kullanıyorsanız veya daha önce kullandıysanız, SQL enjeksiyon açığına karşı daha dikkatli olmalısınız. Güvenlik duvarı ve saldırı tespit sistemleri kullanmak, bu tür açıkların istismarını engellemeye yardımcı olabilir. Son olarak, site yöneticilerinin düzenli güvenlik taramaları yapması ve şüpheli etkinlikleri izlemesi önerilir.
Kaynak: infosecurity-magazine.com