ABD Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA), kritik derecedeki bir Joomla JCE (Content Editor) eklentisi açığını aktif olarak kullanıldığına dair kanıtlarla birlikte uyarı listesine ekledi. CVE-2026-48907 kodlu bu zafiyet, yetkisiz kullanıcıların yeni editör profilleri oluşturmasına izin vererek PHP kodu yükleyip çalıştırmalarına olanak tanıyor. Söz konusu güvenlik açığı, JCE’nin 1.0.0 ile 2.9.99.4 sürümleri arasında bulunuyor ve 3 Haziran 2026’da yayımlanan 2.9.99.5 sürümüyle yamalandı.
Joomla JCE Açığı ve Riskleri
JCE eklentisindeki erişim kontrolü hatası, yetkisiz kişilerin kimlik doğrulamadan yeni editör profilleri yaratmasını mümkün kılmakta. Bu sayede PHP dosyaları sunucuya yüklenip çalıştırılabiliyor ki, bu durum web sunucularında tam yetki ele geçirilmesine yol açabilir. Federal kurumlar için 19 Haziran 2026 tarihine kadar yamaların uygulanması zorunlu kılındı ancak özel sektör ve kamu dışındaki kullanıcılar için risk devam ediyor.
WordPress Hedefli Yeni Tedarik Zinciri Saldırıları
Öte yandan, WordPress eklentileri üzerinden yürütülen yeni saldırı kampanyaları da dikkat çekiyor. Yaklaşık 1 milyon web sitesini etkileyen bu operasyonlarda, OptinMonster, TrustPulse ve PushEngage gibi popüler eklentiler kötü niyetli JavaScript kodlarıyla hedef alındı. Yüklenen zararlı betikler, giriş yapmış yöneticiler görüldüğünde arka kapı admin hesabı açıyor ve gizlenen bir arka kapı eklentisi kuruyor.
Bir başka saldırı senaryosunda ise, “Beloved PBN Entegrasyonu” adında sahte bir WordPress eklentisiyle sitenin her sayfa yüklemesinde URL’si dış bir API’ye gizlice bildiriliyor. Ayrıca, sunucudan dönen rastgele HTML/JavaScript kodları sayfanın alt kısmına ekleniyor. Erişim yöntemleri tam netleşmese de, saldırganların veritabanındaki “wp_posts” kayıtlarını kullanarak iki adet PHP web kabuğu yüklediği ve HTTP üzerinden bu kabuklarla etkileşime geçebildiği anlaşılıyor. Bu durum, kimlik doğrulama gerektirmeden tüm sunucu dosya sistemine sınırsız okuma/yazma hakkı sağlıyor.
SEO Odaklı Gizli Backlink Operasyonları
Böyle bir saldırı, ziyaretçilerin her sayfa yüklemesinde gizlice PBN (Özel Blog Ağı) backlink’leri görmesini mümkün kılarak sitenin arama motoru sıralamasına zarar veriyor. Sucuri’nin analizine göre kampanya, Türkçe konuşan tehdit aktörleri tarafından yönetiliyor ve kumar ile yetişkin içeriklerine yönelik affiliate pazarlama amacı taşıyan SEO odaklı bir gelir modeliyle bağlantılı.
Teknik Özet ve Güvenlik Ekibi İçin Tavsiyeler
Bu karmaşık saldırı zincirinde ilk aşama, zafiyetli eklenti veya site bileşeni üzerinden yetkisiz erişim kazanımı olarak öne çıkıyor. Sonrasında, web kabuklarıyla uzaktan komut çalıştırma, dosya sistemi üzerinde tam kontrol sağlanıyor. Sonuç olarak, hem Joomla hem de WordPress tabanlı sistemlerde güncel yama yönetimi ve eklenti kaynaklarının titizlikle kontrol edilmesi kritik.
- Joomla JCE eklentisini 2.9.99.5 ve üzeri sürüme güncelleyin.
- WordPress eklentilerini resmi kaynaklardan indirin ve düzenli olarak güncelleyin.
- Web uygulama güvenlik duvarı (WAF) kuralları ile PHP dosya yüklemelerini sıkı kontrol edin.
- Sunucu loglarını düzenli analiz ederek anormal hareketleri tespit edin.
- Yönetici hesaplarının erişimlerini çok faktörlü kimlik doğrulama (MFA) ile koruyun.
- Bilinen zararlı IP adreslerine yönelik ağ segmentasyonu ve erişim kısıtlamaları uygulayın.
- Olay müdahale planları dahilinde hızlı yama ve izolasyon prosedürlerini hazırlayın.
Bu gelişmeler, özellikle içerik yönetim sistemlerini kullanan KOBİ ve kamu kurumları için kritik önemde. Yöneticiler, bulut güvenliği ve ağ segmentasyonu gibi temel savunma mekanizmalarını ihmal etmemeli. Ayrıca, siber saldırıların karmaşık yapısı göz önünde bulundurulduğunda, kapsamlı olay müdahale yetenekleri ve anomali tespiti sağlayan SIEM-EDR entegrasyonları büyük fark yaratabilir.