WordPress için Everest Forms Pro eklentisindeki kritik bir güvenlik açığından, savunmasız web sitelerini ele geçirmek için aktif olarak yararlanıldı.
WordPress güvenlik firması Wordfence'in yeni analizine göre, uzaktan kod yürütme kusuru, kimliği doğrulanmamış saldırganların hedef sunucuda PHP çalıştırmasına ve siteyi ele geçirmesine olanak tanıyor.
CVE-2026-3300 olarak takip edilen hata, CVSS ölçeğinde 9,8 puan alıyor ve 1.9.12'ye kadar olan tüm sürümleri etkiliyor. Everest Forms Pro, yaklaşık 4000 aktif kurulumla geliştirici WPEverest'in ticari bir form oluşturucusudur.
Kusur, h0xilo tanıtıcısını kullanan bir araştırmacı tarafından Wordfence'in hata ödül programına bildirildi.
WPEverest, kusuru 1.9.13 sürümünde yamaladı. Daha önceki bir yapıya sahip olan tüm siteler açıkta kalır ve yöneticilerden gecikmeden güncelleme yapmaları istenir.
Uzmanların Görüşleri
WordPress eklenti saldırıları hakkında daha fazlasını okuyun: Büyük WordPress Eklenti Kusuru 4 Saatten Kısa Bir Süre İçinde Kullanıldı
Tek Tırnaklar Sterilizasyondan Geçiyor
Detaylar ve Etkileri
Hatanın temelinde, bir formun hesaplama formülünü PHP'nin eval() işlevi aracılığıyla çalıştıran WordPress eklentisinin Hesaplama eklentisi yer alıyor.
Gönderilen alan değerleri, çalıştırılmadan önce o PHP dizesine birleştirilir ve sanitize_text_field() tek tırnak işaretinden kaçmaz. Saldırgan bir değeri tırnak işaretiyle açabilir, sarma dizesinden çıkabilir ve eval() işlevinin çalıştıracağı PHP'yi enjekte edebilir.
Nasıl Önlem Alınmalı?
Yalnızca "Karmaşık Hesaplama" özelliğini açan formlar PHP kod enjeksiyonuna maruz kalır. Bunlarda herhangi bir metin, e-posta, URL, seçim veya radyo alanı giriş noktası görevi görebilir.
Önemli Gelişmeler
Başarılı bir saldırı, buradan itibaren hileli yönetici hesapları oluşturabilir, web kabukları oluşturabilir ve daha fazla dayanak noktası açabilir.
Hileli Yönetici Hesapları ve Engellenen Saldırılar
Wordfence telemetrisi, saldırıların 13 Nisan 2026'da, yani kamuya açıklanmasından yaklaşık iki hafta sonra başladığını gösteriyor. Önde gelen verisi "diksimarina" adlı bir yönetici hesabını kaydetmeye çalıştı.
Sonuç ve Değerlendirme
Toplamda firma, güvenlik duvarının 29.300'den fazla istismar girişimini engellediğini söyledi. 16 Mayıs'taki artış tek bir günde 17.900'den fazla vakaya karşılık geldi.