Wordfence’in açıklamasına göre, sorun create_wp_connection() fonksiyonunda yetenek kontrolünün eksikliği ve kullanıcı kimliğinin yeterince doğrulanmamasından kaynaklanıyor. Bu da, belirli şartlarda saldırganların otomasyon endpoint’i aracılığıyla admin kullanıcı oluşturmasına olanak tanıyor.
İstismar edilebilmesi için 2 senaryodan biri geçerli olmalı:
- Site, daha önce hiç uygulama şifresi kullanmamış olmalı.
- Saldırgan, uygulama şifresi oluşturabilecek şekilde siteye giriş yapabiliyor olmalı.
Ayrıca saldırılar, aynı eklentide daha önce keşfedilen ve geçen aydan bu yana istismar edilen CVE-2025-3102 (CVSS: 8.1) adlı ikinci bir açığı da hedefliyor. Bu da saldırganların, siteleri topluca tarayarak hangi açık üzerinden istismar edilebileceğini test ettiğini gösteriyor.
Eklentinin 100.000’den fazla aktif kurulumunun olduğu göz önüne alındığında, kullanıcıların acilen 1.0.83 sürümüne güncelleme yapmaları gerekiyor.
Wordfence, saldırıların 2 Mayıs 2025'te başladığını ve 4 Mayıs itibarıyla kitlesel istismara dönüştüğünü belirtti.