Popüler içerik yönetim sistemi WordPress üzerinde kullanılan yaygın bir eklentide ciddi bir güvenlik açığı keşfedildi. Anket ve form oluşturmaya yarayan “Quiz and Survey Master” (QSM) eklentisini kullanan internet sitesi sahiplerinin dikkatli olması gerekiyor. 40.000’den fazla internet sitesi tarafından aktif olarak kullanılan bu eklentinin eski sürümlerinde kritik bir hata tespit edildi.
Popüler WordPress Eklentisinde Kritik Açık: 40 Bin Site Tehlikede
Güvenlik uzmanları, eklentinin 10.3.1 ve daha eski sürümlerinin savunmasız olduğunu belirtiyor. Tespit edilen sorun, SQL enjeksiyonu hatası olarak tanımlanıyor. Bu açık sayesinde, sisteme giriş yapmış herhangi bir kullanıcı veritabanına yetkisiz komutlar gönderebiliyor. Bu durum, site güvenliği için büyük bir tehdit oluşturuyor.
Patchstack tarafından yayınlanan güvenlik raporuna göre, riskin boyutu oldukça büyük. Sadece basit bir “abone” yetkisine sahip kullanıcılar bile bu açıktan faydalanabiliyor. Saldırganlar bu yöntemi kullanarak sitenin veritabanındaki hassas verileri dışarı sızdırabiliyor. Bu nedenle site yöneticilerinin vakit kaybetmeden harekete geçmesi önem taşıyor.
İstatistikler ise tablonun ciddiyetini ortaya koyuyor. WordPress.org verilerine göre sitelerin yaklaşık %47,9’u kesinlikle riskli eski sürümleri kullanıyor. Bu oran, en az 19.160 internet sitesinin şu an saldırıya açık olduğu anlamına geliyor. Geri kalan kullanıcıların ne kadarının güncel sürüme geçtiği ise net olarak bilinemiyor.
Şu an için bu açığın siber saldırganlar tarafından aktif olarak kullanıldığına dair somut bir kanıt bulunmuyor. Hata, CVE-2025-67987 koduyla takip ediliyor. Ancak açığın duyulmasıyla birlikte, kötü niyetli kişilerin QSM kullanan siteleri taramaya başlaması ve saldırı denemeleri yapması bekleniyor.
Riski ortadan kaldırmak için eklentiyi 10.3.2 veya daha yeni bir sürüme güncellemek şart. Şu an indirilebilen en güncel sürüm ise 10.3.5 olarak görünüyor. Güvenlik uzmanları ayrıca sunucuda yer kaplayan ancak aktif olarak kullanılmayan eklentilerin tamamen silinmesini tavsiye ediyor.
Peki siz WordPress sitelerinizin güvenliğini sağlamak için eklenti güncellemelerini ne sıklıkla kontrol ediyorsunuz?
Kaynak: Shiftdelete
