WordPress kullanıcıları için popüler bir harita eklentisi olan WP Maps Pro’da, kritik bir yetki yükseltme açığı tespit edildi. Bu zafiyet, saldırganların doğrulanmamış şekilde yönetici hesapları oluşturmasına olanak tanıyor ve bu durum, etkilenen web sitelerinin tamamen ele geçirilmesine yol açabiliyor.
Saldırının Genel Çerçevesi
WP Maps Pro, Google Maps ve OpenStreetMap tabanlı özelleştirilebilir haritalar sunan, 15.000’den fazla satışa ulaşmış bir WordPress eklentisi. Site sahipleri, bu araç sayesinde mağaza konumları gibi bilgileri kullanıcılarına kolayca sunabiliyor. Ancak CVE-2026-8732 kodlu ve 9.8 CVSS puanına sahip kritik bir güvenlik açığı, eklentinin 6.1.0 ve önceki sürümlerinde mevcut. Bu açığı kullanan saldırganlar, “wpgmp_temp_access_support()” fonksiyonunu doğrulama olmadan çağırarak, kendilerine yönetici yetkisi veren yeni kullanıcı hesapları yaratabiliyorlar.
Saldırı Zinciri ve Teknik Detaylar
Açığın temelinde, destek personelinin müşteri sitelerine geçici erişim sağlaması için tasarlanmış “geçici erişim” özelliği bulunuyor. Ancak bu mekanizma, wp_ajax_nopriv_ ile kayıtlı AJAX aksiyonu ve sadece herkese açık bir nonce kontrolü ile korunuyor. Bu nonce, her ön yüz sayfasına gömülü olduğundan, erişim kontrolü işlevsiz kalıyor. Sonuç olarak, saldırganlar check_temp=false parametresi ile bu fonksiyonu tetikleyip, wp_insert_user() aracılığıyla yönetici rolünde yeni bir kullanıcı oluşturuyor. Ardından, oluşturulan özel giriş URL’siyle wp_set_auth_cookie() fonksiyonu çağrılarak tam yetkili oturum açılıyor ve site tamamen ele geçiriliyor.
Hangi Sistemler Risk Altında?
Bu zafiyet, WP Maps Pro eklentisinin 6.1.0 ve öncesi sürümlerini kullanan tüm WordPress sitelerini etkiliyor. Özellikle e-ticaret, yerel hizmet sağlayıcıları ve mağaza zincirleri gibi konum bazlı hizmet sunan platformlar risk altında. Ayrıca, bu tür yetki yükseltme açıkları, bulut güvenliği ve IAM (Identity and Access Management) süreçlerinde ciddi boşluklar yaratabilir.
Güvenlik Ekipleri İçin Pratik Öneriler
- WP Maps Pro eklentisini derhal 6.1.1 veya üzeri sürüme güncelleyin.
- WordPress kullanıcı rollerini düzenli olarak denetleyin ve şüpheli hesapları tespit edin.
- AJAX isteklerini ve nonce kontrollerini SIEM sistemlerinizde izleyin.
- EDR çözümleri ile anormal yönetici hesap oluşturma aktivitelerini tespit edin.
- Web uygulaması güvenlik duvarı (WAF) kurallarıyla bu tür AJAX aksiyonlarını kısıtlayın.
- Çok faktörlü kimlik doğrulamayı (MFA) yönetici hesapları için zorunlu hale getirin.
- Geçici erişim özelliklerini kullanan eklentilerde erişim kontrollerini sıkılaştırın.
- Olay müdahale (incident response) planlarınızı bu tür yetki yükseltme saldırılarına karşı güncelleyin.
Yama ve İstismar Durumu
Eklenti geliştiricileri, 20 Mayıs 2026 tarihinde yayımladıkları 6.1.1 sürümüyle açığı kapattı ve yalnızca doğrulanmış yöneticilerin ilgili API uç noktasına erişimini sağladı. Ancak yapılan analizlere göre, bu zafiyet aktif şekilde istismar ediliyor; son 24 saatte 2.858 saldırı engellendi. Bu durum, güncellemelerin acilen uygulanmasının önemini ortaya koyuyor.
Teknik Özet
- Kullanılan zafiyet: CVE-2026-8732, yüksek şiddette yetki yükseltme açığı
- Saldırı yöntemi: Doğrulama olmadan AJAX çağrısı ile yönetici hesabı oluşturma
- Hedef sektörler: E-ticaret, yerel hizmetler, mağaza zincirleri ve WordPress altyapılı siteler
- Saldırı zinciri: 1) Geçici erişim AJAX aksiyonunun kötüye kullanımı, 2) Yönetici hesabı yaratımı, 3) Yönetici oturumu açılması ve site kontrolü
- Önerilen savunma: Güncelleme, MFA, WAF kuralları, EDR ve SIEM izleme
Bu tür yetki yükseltme açıkları, özellikle bulut güvenliği ve IAM politikalarının zayıf olduğu ortamlarda fidye yazılımı ve diğer kötü amaçlı saldırılar için kapı aralayabilir. Dolayısıyla, e-posta güvenliği ve ağ segmentasyonu gibi diğer siber güvenlik önlemleriyle birlikte kapsamlı bir savunma stratejisi oluşturulmalıdır.