WordPress’te Kritik Güvenlik Açığı: 90.000’den Fazla Site Risk Altında

WordPress tabanlı web sitelerinin güvenliğini tehlikeye atan yeni bir güvenlik açığı tespit edildi. Kubio AI Page Builder eklentisinde keşfedilen bu kritik açık, saldırganların yetkisiz dosya erişimi sağlayarak sistem üzerinde kontrol elde etmesine yol açabiliyor.

Kubio AI Page Builder Nedir?

Kubio, WordPress için geliştirilen bir web sitesi oluşturucusu olarak kullanılıyor. Blok tabanlı düzenleme yapısıyla bilinen eklenti, kullanıcıların kod bilgisine ihtiyaç duymadan özelleştirilebilir web siteleri oluşturmasını sağlıyor. 90.000’den fazla aktif kurulum sayısına sahip olan Kubio, WordPress topluluğunda yaygın olarak kullanılan araçlardan biri olarak öne çıkıyor.

CVE-2025-2294 koduyla takip edilen bu güvenlik açığı, Kubio AI Page Builder eklentisinde Yetkisiz Yerel Dosya Ekleme (Local File Inclusion – LFI) zafiyetine neden oluyor. Güvenlik araştırmacısı mikemyers, bu açığı tespit eden isim olarak kayıtlara geçti.

Bu açık, eklentinin 2.5.1 ve önceki sürümlerini etkiliyor. Kubio AI Page Builder eklentisindeki kubio_hybrid_theme_load_template fonksiyonundaki güvenlik zaafiyeti, saldırganların sunucudaki dosyaları okuyup çalıştırmasına olanak tanıyor.

Güvenlik Açığının Olası Sonuçları

Bu kritik güvenlik açığının başarılı bir şekilde kullanılması, çeşitli tehditlere yol açabilir:

• Yetkisiz erişim: Saldırganlar, sistemde belirli dosyalara erişerek güvenlik önlemlerini aşabilir.
• Hassas verilerin ele geçirilmesi: Sunucuya kayıtlı kritik bilgilere ulaşılabilir.
• Uzaktan kod çalıştırma: Kötü niyetli kişiler, PHP tabanlı zararlı dosyaları yükleyerek uzaktan kod çalıştırabilir.

Bu riskler nedeniyle açık, 9.8 CVSS puanı ile kritik seviyede değerlendiriliyor.

Geliştiriciler, bu açığı kapatmak için Kubio AI Page Builder eklentisinin 2.5.2 sürümünü yayınladı. Eklenti kullanıcılarının, web sitelerinin güvenliğini korumak için acilen güncelleme yapmaları gerekiyor. Güncelleme yaparak olası siber saldırıların önüne geçebilirsiniz.