WordPress Core'da Kritik Uzaktan Kod Yürütme Açığı Bulundu

WordPress çekirdek yazılımında keşfedilen CVE-2026-63030 kodlu zafiyet, internete açık web siteleri için ciddi bir risk oluşturuyor. REST API toplu uç noktası üzerinden tetiklenebilen bu açık, saldırganların herhangi bir kullanıcı hesabı veya etkileşimi olmadan sistem üzerinde kod yürütmesine olanak tanıyor. Searchlight Cyber araştırmacıları tarafından ortaya çıkarılan bu durum, varsayılan kurulumlara sahip sitelerin bile savunmasız olduğunu gösteriyor.
Söz konusu güvenlik açığı, 6.9.0 ile 6.9.4 arasındaki sürümleri ve 7.0.0 ile 7.0.1 sürümlerini etkiliyor. Cloudflare, kalıcı nesne önbelleği kullanılmayan yapılandırmaların bu saldırı yoluna karşı daha savunmasız olduğunu belirtiyor. Şu an için kamuya açık bir sömürü raporu bulunmasa da, yapay zeka modellerinin açık kaynak kodları analiz etme hızı göz önüne alındığında, bir proof-of-concept kodunun kısa sürede yayınlanması bekleniyor.
WordPress geliştiricileri, otomatik güncelleme özelliği açık olan sistemler için yamaları zorunlu kılıyor. Geçici bir çözüm önerilmediği için, etkilenen tüm web sitelerinin vakit kaybetmeden en son sürüme geçirilmesi gerekiyor.


