Bilgisayar korsanları, Everest Forms Pro eklentisinde bulunan ve CVE-2026-3300 numarasıyla takip edilen kritik bir güvenlik açığını aktif olarak kullanıyor. Bu CVE-2026-3300 numaralı zafiyet, sürüm 1.9.12 ve öncesindeki eklentileri etkilerken, saldırganların herhangi bir kimlik doğrulama gerektirmeden sunucuda rastgele kod çalıştırmasına olanak tanıyor. Wordfence güvenlik duvarı verilerine göre, aktif saldırılar 13 Nisan’da başladı ve şu ana kadar 29.300’den fazla girişim engellendi. Bu WordPress eklenti güvenlik açığı, özellikle form oluşturma eklentilerini kullanan siteler için büyük bir tehdit oluşturuyor.

Kompleks Hesaplama Özelliğindeki Zafiyet Kod Enjeksiyonuna Yol Açıyor

CVE-2026-3300 numaralı Everest Forms Pro güvenlik açığı, eklentinin Kompleks Hesaplama özelliğinde bulunuyor. Bu Kompleks Hesaplama zafiyeti, form alanlarından gönderilen değerleri alıyor ve bunları bir PHP kodu dizgisine yerleştiriyor. Ardından ortaya çıkan kodu PHP’nin ‘eval()’ fonksiyonunu kullanarak çalıştırıyor. Kullanıcı girdileri ‘sanitize_text_field()’ fonksiyonundan geçse de bu fonksiyon tek tırnak işaretlerini veya PHP sözdizimini etkileyen diğer karakterleri temizlemiyor.

Bir saldırgan, bu zafiyeti kullanarak tek tırnak işaretiyle hedeflenen dizgiyi kapatabiliyor ve ardından rastgele PHP kodu enjekte edebiliyor. Saldırgan, kalan kodu yorum satırı haline getirerek sunucuda kod çalıştırmayı başarıyor. Enjekte edilen PHP kodu genellikle ‘diksimarina’ kullanıcı adıyla yeni bir yönetici hesabı oluşturmak için ‘wp_insert_user()’ fonksiyonunu çağırıyor. Bu diksimarina yönetici hesabı, saldırganların sürekli erişimini sağlamak için oluşturuluyor.

Wordfence araştırmacılarının yaptığı analize göre, saldırganlar bir metin alanına tek tırnak işaretiyle başlayan bir değer giriyor. Bu değer, dizgi değişmezinin kapatılmasını sağlıyor. Ardından gelen PHP ifadesi, ‘wp_insert_user()’ fonksiyonunu çağırarak ‘diksimarina’ kullanıcı adıyla yeni bir yönetici hesabı oluşturuyor. Sondaki ‘//’ yorum işareti, geriye kalan PHP kodunun tamamının yorum olarak ele alınmasını ve sözdizimi hatası oluşmamasını sağlıyor. Wordfence güvenlik duvarı bu tür saldırıları tespit etmek için özel kurallar geliştirdi.

Yönetici seviyesindeki erişim, saldırganlara ele geçirilen sitede içerik değiştirme, eklenti ve tema yükleme, arka kapı ve web kabuğu yerleştirme ve özel veritabanlarına erişme gibi yüksek riskli eylemleri gerçekleştirme yetkisi veriyor. Araştırmacı h0xilo, bu güvenlik açığını Şubat ayında Wordfence aracılığıyla bildirdi. Everest Forms geliştiricisi, 18 Mart’ta sorunu gideren bir yama yayınladı. Ancak birçok site yöneticisi güncellemeyi yapmadığı için saldırılar devam ediyor.

👉️ İlginizi Çekebilir: Microsoft Windows Kurulum ISO’ları İçin Yeni Defender Güncellemesini Yayınladı

Web Yöneticileri Saldırıya Karşı Nasıl Önlem Alabilir?

Wordfence verilerine göre, saldırı girişimleri ağırlıklı olarak 202.56.2[.]126 ve 209.146.60.26 adreslerindeki iki IP üzerinden gerçekleşiyor. Wordfence, savunmacılara bu adresleri engellemelerini öneriyor. Raporda ayrıca saldırılarla ilişkili çok sayıda IP adresi daha paylaşılıyor. Web sitesi yöneticilerinin, özellikle “diksimarina” dizgisini içeren şüpheli etkinlikler için log dosyalarını ve yönetici hesaplarını incelemeleri öneriliyor.

Everest Forms Pro eklentisini kullananların en kısa sürede en güncel sürüme yükseltme yapması gerekiyor. Eklentinin 1.9.12 ve altındaki sürümlerini kullanan sitelerin acilen güncellenmesi hayati önem taşıyor. Ayrıca site sahiplerinin, “diksimarina” veya benzeri bilinmeyen kullanıcı adlarına sahip yönetici hesaplarını kontrol etmesi ve şüpheli hesapları derhal kaldırması öneriliyor.