WordPress Çekirdeğinde Kritik Güvenlik Açığı: wp2shell ile Kimliği Doğrulanmamış Saldırganlar Kod Çalıştırabilir Windows

WordPress Çekirdeğinde Kritik Güvenlik Açığı: wp2shell ile Kimliği Doğrulanmamış Saldırganlar Kod Çalıştırabilir

WordPress çekirdeğinde keşfedilen wp2shell açığı, kimliği doğrulanmamış saldırganların varsayılan kurulumda bile kod çalıştırmasına izin veriyor. 6.9.

WordPress, 17 Temmuz 2026'da yayınladığı acil güvenlik güncellemeleriyle çekirdekteki kritik bir açığı kapattı. Assetnote ve Searchlight Cyber iş birliğiyle keşfedilen 'wp2shell' adlı güvenlik açığı, kimliği doğrulanmamış anonim bir kullanıcının, herhangi bir eklenti yüklü olmasa bile WordPress sitesinde uzaktan kod çalıştırmasına olanak tanıyor. WordPress'in HackerOne programı üzerinden bildirilen bu açık, 6.9.0 ile 6.9.4 ve 7.0.0 ile 7.0.1 sürümlerini etkiliyor. Güncellemeler 6.9.5 ve 7.0.2 sürümleriyle dağıtıldı ve WordPress, otomatik güncelleme sistemi üzerinden 'zorunlu güncelleme' olarak nitelendirdiği bir yama süreci başlattı.

Searchlight Cyber'in raporuna göre, wp2shell açığı 'ön koşul gerektirmiyor ve anonim bir kullanıcı tarafından istismar edilebiliyor.' Teknik detaylar şimdilik gizli tutulurken, site sahiplerinin kendi kurulumlarını test edebilmeleri için wp2shell.com adresinde bir kontrol aracı yayınlandı. WordPress'in resmi açıklaması, bu güvenlik açığını 'REST API batch-route karışıklığı ve SQL injection sorunu' olarak tanımlıyor ve Uzaktan Kod Çalıştırmaya (RCE) yol açtığını belirtiyor. Açığın kritik ve yüksek önem derecesine sahip iki güvenlik sorunundan hangisi olduğu ise netleştirilmedi.

WordPress 7.0.2 sürümüyle birlikte güncellenen dosyalar arasında /wp-includes/rest-api/class-wp-rest-server.php, /wp-includes/class-wp-query.php ve /wp-includes/rest-api.php bulunuyor. Batch endpoint'i aslında yeni değil; Kasım 2020'deki 5.6 sürümünden beri mevcut ve istek formatı kamuya açık olarak belgelenmişti. Ancak 6.9 sürümünde neyin değiştiği henüz açıklanmadı. Bu durum, güncellemeyi yapmamış siteler için büyük risk oluşturuyor.

Nasıl Önlem Alınmalı?

Henüz bu açığa ait bir CVE ID'si veya CVSS puanı yayınlanmadığından, CVE tabanlı tarayıcılar ve envanter sistemleri bu tehdidi tespit edemiyor. CISA'nın KEV kataloğuna ekleme yapabilmesi için de CVE atanması gerekiyor. Bu nedenle sitelerin güncelleme durumunu sürüm numaraları üzerinden kontrol etmeleri kritik önem taşıyor. WordPress'in zorunlu güncellemelerinin, otomatik güncellemeleri kapatan sitelere ulaşıp ulaşmadığı ise net değil; site sahiplerinin mevcut sürümlerini kontrol etmeleri öneriliyor.

Hemen güncelleme yapamayanlar için Searchlight Cyber, geçici önlemler sunuyor. Bunların tümü, anonim kullanıcıların batch endpoint'ine erişimini engellemeye dayanıyor. İlk seçenek, WAF üzerinde hem /wp-json/batch/v1 hem de rest_route=/batch/v1 yollarını engellemek. İkinci seçenek, WP REST API'yi tamamen devre dışı bırakmak. Üçüncü seçenek ise, rest_pre_dispatch hook'u ile anonim /batch/v1 isteklerini reddeden kısa bir eklenti kullanmak. Ancak bu önlemlerin meşru entegrasyonları bozabileceği unutulmamalı.

18 Temmuz itibarıyla herhangi bir istismar girişimi rapor edilmiş değil. Ancak CVE atanmaması ve kamuya açık bir imzanın bulunmaması nedeniyle henüz kimse aktif olarak bu açığı aramıyor. WordPress'in kitlesel istismarı artık bir endüstri haline gelmiş durumda. Geçtiğimiz aylarda Drupal'in çekirdeğindeki anonim SQL injection açığı, yama yayınlandıktan sadece bir gün sonra istismar edilmişti. WordPress'in açık kaynak yapısı nedeniyle, yama ile birlikte açığın haritası da kamuya sunuluyor. Bu nedenle, yamanın sitelere ne kadar hızlı ulaştığı kritik önem taşıyor.

WordPress'in 17 Temmuz'da çektiği bu tetik, saldırganların batch/v1 trafiğini ne zaman artıracağını ve yamanın ne kadar etkili olduğunu gösterecek. 500 milyondan fazla web sitesinin kullandığı WordPress'te, bu açıktan etkilenen site sayısı henüz bilinmiyor. Ancak 6.9 sürümünün Aralık 2025'te yayınlandığı göz önüne alındığında, etkilenen tüm sitelerin sekiz aydan daha kısa süre önce güncellendiği anlaşılıyor. Site sahiplerinin en kısa sürede 6.9.5 veya 7.0.2 sürümlerine geçmeleri, ayrıca hala 6.8 kullananların da SQL injection açığını kapatan 6.8.6 sürümüne yükseltmeleri öneriliyor.

Kaynak: thehackernews.com

Paylaş: