WordPress’in 6.9 ve 7.0 sürümlerinde bulunan bir çekirdek açığı, anonim HTTP istekleriyle yetkisiz kullanıcıların doğrudan kod çalıştırmasına olanak tanıyor. Eklentisiz ve varsayılan kurulumlarda bile kullanılabilen bu zafiyet, iki birleşik hatanın zincirlenmesiyle ortaya çıkıyor.
İki Birleşik Açık: CVE-2026-63030 ve CVE-2026-60137
REST API batch-route karışıklığı (CVE-2026-63030) ile WordPress çekirdeğindeki SQL enjeksiyonu (CVE-2026-60137) birlikte kullanıldığında, anonim bir saldırganın site üzerinde kod çalıştırmasına imkan veriyor. WordPress, 21 Temmuz 2026’da yayımladığı 6.9.5 ve 7.0.2 sürümleriyle sorunu giderdi ve otomatik güncelleme sistemi üzerinden zorunlu yamaları devreye aldı. Otomatik güncellemeyi kapatan sitelerin durumu ise henüz netleşmedi.
Açığı keşfeden ekiplerden biri Assetnote’un Searchlight Siber Güvenlik bölümü oldu. “wp2shell” adı verilen teknik analizle kamuoyuna duyurulan zafiyetin SQL enjeksiyonu kısmı ise TF1T, dtro ve haongo adlı araştırmacılar tarafından bildirildi.
İstismar yöntemi, WP_Query’nin author__not_in parametresine string veri verilerek yapılan SQL enjeksiyonuyla başlıyor. Bu parametreye erişim, /wp-json/batch/v1 REST API rotasında yaşanan bir dizin uyumsuzluğu hatasından kaynaklanıyor. İki paralel dizinin senkronizasyonunun bozulması, bir alt isteğin başka bir isteğin işleyicisi altında çalışmasına yol açıyor ve böylece yetkilendirme kontrolleri aşılmış oluyor.
Batch-route karışıklığı hatası WordPress 5.6 sürümünden beri mevcut ancak bu istismar zinciri sadece 6.9 ve sonraki sürümlerde gerçekleşebiliyor. Buna göre;
- 6.8.0 ile 6.8.5 sürümleri yalnızca SQL enjeksiyonuna açık ve 6.8.6 sürümüyle kapatıldı,
- 6.9.0 ile 6.9.4 ve 7.0.0 ile 7.0.1 sürümleri tam yetkisiz kod yürütme zincirine açık ve 6.9.5 ile 7.0.2 sürümleriyle düzeltildi.
WordPress 7.1 beta2 sürümü ise her iki düzeltmeyi bir arada sunuyor.
Değerlendirmelerde, WordPress’in açığı kritik olarak sınıflandırmasına rağmen bazı CVE puanlama sistemlerinde orta-yüksek (7.5) seviyede derecelendirildiği belirtildi. Bu durum, SQL enjeksiyonunun veritabanına doğrudan erişim sağlaması ve batch-route karışıklığının daha çok işleme hatası olarak görülmesinden kaynaklanıyor.
Cloudflare açıklamasına göre, açık yalnızca kalıcı nesne önbelleği (persistent object cache) kullanılmadığında etkili oluyor. Redis veya Memcached gibi önbellek sistemleri saldırı yolunu kısmen engelliyor.
Açık kamuya yayıldıktan sonra GitHub’da çalışan bir kanıt kodu paylaşıldı. Güvenlik tarayıcıları CVE kimliklerine göre taramalara başladı; Rapid7, InsightVM ve Nexpose için 20 Temmuz’da doğrulanmış kontroller yayımlandı.
Güncelleme Yapamayanlar İçin Öneriler
Uzmanlar, güncellemeyi erteleyen site yöneticilerine geçici önlemler öneriyor:
- WAF (Web Application Firewall) üzerinde
/wp-json/batch/v1verest_route=/batch/v1yollarını engellemek, - WordPress REST API’yi devre dışı bırakmak,
- Anonymous batch/v1 isteklerini engelleyen kısa bir WordPress eklentisi kullanmak.
Bu önlemlerin kalıcı çözüm olmadığı ve bazı yasal API entegrasyonlarını etkileyebileceği vurgulanıyor.
WordPress’in açık kaynak yapısı ve yayımlanan yama, güvenlik araştırmacılarının açığı hızla anlamasına ve istismar kodları üretmesine olanak sağladı. Bu nedenle sitelerin güncellemeyi mümkün olan en kısa sürede uygulaması gerekiyor.
