WordPress platformunda yaygın kullanılan King Addons eklentisinde, kimlik doğrulaması gerektirmeden yetki yükseltmeye imkan veren kritik bir güvenlik açığı tespit edildi. CVE-2025-8489 referans numarasıyla kayda geçen bu zafiyet, saldırganların kullanıcı kayıt sürecinde “administrator” rolünü belirterek kendilerine yönetici ayrıcalıkları tanımlamasına olanak sağlıyor. Etkilenen sürümler 24.12.92 ile 51.1.14 arasında olup, 25 Eylül 2025 tarihinde yayınlanan 51.1.35 sürümüyle yama yayınlandı.
Saldırı Zinciri ve Teknik Detaylar
Açığın temelinde, kullanıcı kayıt işlemi sırasında çağrılan handle_register_ajax() fonksiyonunun kimlik doğrulaması olmadan çalışması yatıyor. Saldırganlar, oluşturdukları HTTP isteklerinde rollerini “administrator” olarak belirtebiliyor ve böylece yönetici hakları elde ediyor. Bu durum, saldırganların hedef sistem üzerinde tam kontrol sağlamasına, kötü amaçlı kod yüklemesine, ziyaretçileri zararlı sitelere yönlendirmesine veya spam faaliyetleri gerçekleştirmesine olanak tanıyor.
Güvenlik araştırmacısı Peter Thaleikis tarafından raporlanan bu zafiyet, Wordfence tarafından takip edilen aktif sömürü kampanyalarıyla birlikte değerlendirildiğinde, 31 Ekim 2025 itibarıyla saldırıların başladığı ve 9 Kasım 2025’te kitlesel hale geldiği görülüyor. Son raporlara göre, sadece 24 saat içinde 75’ten fazla saldırı girişimi engellendi. Saldırılar, hem IPv4 hem de IPv6 adreslerinden gerçekleştiriliyor.
Hangi Sistemler Risk Altında?
King Addons eklentisini kullanan WordPress siteleri, özellikle 24.12.92 ile 51.1.14 sürümleri arasında olanlar doğrudan risk altında. Bu eklenti, dünya genelinde 10.000’den fazla aktif kurulumda bulunuyor ve çoğunlukla içerik yönetimi, e-ticaret ve kurumsal web sitelerinde tercih ediliyor. Zafiyet, kimlik doğrulaması gerektirmediği için saldırganların otomatik araçlar ve botnetler kullanarak geniş çaplı sömürü kampanyaları düzenlemesi mümkün hale geliyor.
Siber Güvenlik Ekipleri İçin Öneriler
- King Addons eklentisini 51.1.35 veya daha güncel sürüme derhal yükseltin.
- Kullanıcı kayıt loglarını ve yönetici hesap oluşturma aktivitelerini SIEM sistemleriyle yakından izleyin.
- Yetkisiz yönetici hesaplarının tespiti için IAM çözümlerinde düzenli denetimler yapın.
- EDR araçlarıyla şüpheli süreç ve ağ trafiği davranışlarını analiz edin.
- WordPress sitelerinde MFA (Çok Faktörlü Kimlik Doğrulama) uygulamasını zorunlu hale getirin.
- Firewall ve WAF kurallarını, şüpheli IP adreslerinden gelen istekleri engelleyecek şekilde güncelleyin.
- Olay müdahale planlarınızı güncelleyerek, bu tür yetki yükseltme saldırılarına hızlı yanıt verebilme kapasitenizi artırın.
- Güvenlik açıklarının erken tespiti için düzenli zafiyet taramaları yapın.
Kurumsal Ortamlarda Olası Senaryo
Bir e-ticaret sitesi, King Addons eklentisinin güncel olmayan bir sürümünü kullanıyor. Saldırgan, kimlik doğrulaması olmadan yönetici hesabı oluşturup siteye tam erişim sağlıyor. Bu erişimle ödeme sayfalarına kötü amaçlı scriptler enjekte ediliyor, müşterilerin kredi kartı bilgileri çalınıyor ve site üzerinden spam kampanyaları başlatılıyor. Bu durum, hem müşteri güveninin zedelenmesine hem de yasal yaptırımlara yol açıyor.
Bu tür saldırıların önüne geçmek için, bulut güvenliği ve ağ segmentasyonu gibi ek güvenlik katmanları uygulanmalı, ayrıca e-posta güvenliği ve fidye yazılımı saldırılarına karşı da kapsamlı önlemler alınmalıdır.
Teknik Özet
- Zafiyet: CVE-2025-8489, kimlik doğrulaması olmadan yetki yükseltme
- Hedefler: WordPress King Addons 24.12.92 – 51.1.14 sürümleri
- Saldırı Zinciri: HTTP istekleriyle “administrator” rolü atanması → yönetici hesabı oluşturulması → tam sistem kontrolü
- Saldırı Vektörleri: Otomatik botnetler, brute force kullanıcı kayıtları
- Önerilen Savunma: Güncel yama uygulaması, MFA, IAM denetimleri, EDR ve SIEM entegrasyonu, WAF kuralları