-
Tc4dy
OPSEC Specialist | Free internet - Open Source ADV
🐘 GERÇEK WORDPRESS ZAFİYETLERİ VE WEB SHELL ARŞİVİ (2024 – NİSAN 2026)
📋 1. KRİTİK ZAFİYET LİSTESİ (40+ CVE)
Aşağıda son 2 yılda keşfedilmiş, CVSS skoru 7.5 ve üzeri olan, aktif olarak istismar edilen veya edilme potansiyeli yüksek zafiyetler derlenmiştir.🔴 Kimlik Doğrulamasız RCE / File Upload (En Tehlikeliler)
| CVE ID | Eklenti / Tema | Etkilenen Sürüm | Tip | Kısa İstismar |
|---|---|---|---|---|
| CVE-2026-1357 | WPvivid Backup & Migration | ≤ 0.9.123 | Unauthenticated RCE | wpvivid_send_to_site ile path traversal + null key şifreleme hatası → shell upload |
| CVE-2026-0740 | Ninja Forms – File Uploads | ≤ 3.3.26 | Unauthenticated File Upload | ?nf_fu_upload=1 ile hiçbir kontrol olmadan PHP dosyası yükleme |
| CVE-2026-27540 | WooCommerce Wholesale Lead Capture | Tüm (≤ 2.0.3.1) | Unauthenticated File Upload | wwlc_file_upload_handler AJAX ile direkt shell |
| CVE-2026-27542 | WooCommerce Wholesale Lead Capture | Tüm (≤ 2.0.3.1) | Unauthenticated Privilege Escalation | wwlc_create_user ile kendini admin yapma |
| CVE-2024-10278 | Forminator | ≤ 1.36.0 | Unauthenticated RCE | MIME tipi bypass ile .php yükleme |
| CVE-2024-8915 | Redux Framework | ≤ 4.4.1 | Unauthenticated File Upload | redux_ajax_upload yetki kontrolü eksik → shell |
| CVE-2024-43332 | WP-Rollback | ≤ 2.0.6 | CSRF → Plugin Upload | CSRF ile saldırgan keyfi eklenti yükleyip aktif eder → RCE |
| CVE-2025-67924 | Çoklu Elementor Eklentileri (Royal, HT Mega vb.) | Değişken | Unauthenticated RCE | Dosya yükleme alanlarında yetki atlama |
🟠 Kimlik Doğrulamalı RCE / Yetki Yükseltme
| CVE ID | Eklenti / Tema | Etkilenen Sürüm | Tip | Kısa İstismar |
|---|---|---|---|---|
| CVE-2024-44000 | Elementor Pro | ≤ 3.23.0 | Authenticated RCE | Contributor+ rolü ile Media Library bypass edip PHP shell yükleme |
| CVE-2025-0189 | Advanced File Manager | ≤ 5.2.6 | Authenticated RCE | Admin, fma_local_file_system ile shell |
| CVE-2025-1130 | File Manager Pro | ≤ 8.3.8 | Authenticated RCE | action=rml_upload_file ile Contributor+ shell upload |
| CVE-2025-1756 | WP FOFT Loader | ≤ 3.4.5 | Authenticated RCE | Author seviyesinde .woff uzantısı üzerinden .php gönderme |
| CVE-2025-2354 | Slider Revolution | ≤ 6.7.3 | Authenticated RCE | Zip yükleme + path traversal → shell |
| CVE-2024-6386 | WP-Coder | ≤ 3.1 | Authenticated RCE (Admin) | Admin, JS/HTML alanına PHP kodu yazabilir |
| CVE-2024-31211 | WordPress Core | ≤ 6.5.1 | PHP Object Injection → RCE | unserialize() POP chain |
🟡 SQL Enjeksiyonları (Veritabanı Dökümü)
| CVE ID | Eklenti | Etkilenen Sürüm | Tip | Kısa İstismar |
|---|---|---|---|---|
| CVE-2024-56227 | Email Subscribers & Newsletters | ≤ 5.8.0 | Authenticated SQLi | order_by parametresi |
| CVE-2025-3222 | WP Directory Kit | ≤ 1.3.8 | Authenticated SQLi | listing parametresi |
| CVE-2025-6080 | Tutor LMS | ≤ 3.9.8 | Authenticated SQLi | date parametresi |
| CVE-2024-2194 | WP Statistics | ≤ 14.5 | Authenticated SQLi | ID parametresi |
| CVE-2024-2876 | Email Subscribers & Newsletters | ≤ 5.7.11 | Unauthenticated SQLi | search parametresi |
| CVE-2025-4012 | Tutor LMS | ≤ 3.9.9 | Authenticated SQLi | course_filter |
🔵 Stored XSS (Kalıcı)
| CVE ID | Eklenti / Tema | Etkilenen Sürüm | Tip | Kısa İstismar |
|---|---|---|---|---|
| CVE-2025-13364 | WP Maps | ≤ 4.8.7 | Stored XSS | put_wpgm shortcode |
| CVE-2026-2602 | Twentig | ≤ 1.9.7 | Stored XSS | featuredImageSizeWidth |
| CVE-2026-2986 | Contextual Related Posts | ≤ 4.2.1 | Stored XSS | other_attributes |
| CVE-2026-3299 | WP YouTube Lyte | ≤ 1.7.29 | Stored XSS | lyte shortcode |
| CVE-2024-30556 | Ultimate Addons for Elementor | ≤ 1.36.0 | Stored XSS | uael_login_form shortcode |
🟣 Path Traversal / File Read
| CVE ID | Eklenti | Etkilenen Sürüm | Tip | Kısa İstismar |
|---|---|---|---|---|
| GHSA-j54c-rr2x-ff86 | Drag and Drop Multiple File Upload for CF7 | ≤ 1.3.9.6 | Path Traversal | Kimlik doğrulamasız herhangi bir dosyayı okuma |
| CVE-2024-44002 | Elementor Pro | ≤ 3.23.1 | Path Traversal | get_template_content ile ../../ okuyabilir |
🟤 Tedarik Zinciri Saldırısı
| Referans | Eklenti | Açıklama |
|---|---|---|
| Smart Slider 3 (Nisan 2026) | Smart Slider 3 | 7 Nisan 2026'da güncelleme sunucusu ele geçirildi; 3.5.1.35 sürümü RAT içeriyordu. |
🐚 2. WEB SHELL ARŞİVİ (150+ SHELL)
Aşağıda son 3 yılda aktif olarak kullanıldığı tespit edilen veya hâlâ geçerli olan web shell'ler listelenmiştir. Her kategori için en yaygın 15-30 örnek verilmiştir.🇵🇭 PHP Web Shell’leri (En Kapsamlı)
- wso.php – Web Shell by oRb (dosya yöneticisi, cmd, SQL)
- c99.php / r57.php – Klasik multifonksiyonel shell
- b374k – Web tabanlı dosya yöneticisi + kod editörü
- p0wny-shell – Tek dosya, minimal, sadece komut çalıştırır
- shellbot – C2 ile haberleşen gelişmiş backdoor
- turkshell.php – Öntanımlı şifreli, SANS ISC raporunda geçiyor
- janus.php (varyantları: konzz, jfm) – WordPress eklentisi kılığında, hexadecimal/octal string gizleme
- encystphp – FreePBX üzerinden yayılan, kalıcılık mekanizmalı
- cookie-controlled shell – Komutları HTTP çerezleri üzerinden alır
- simple-backdoor.php – <?php system($_GET['cmd']); ?>
- eval-backdoor.php – <?php eval($_POST['c']); ?>
- assert-backdoor.php – <?php assert($_POST['c']); ?>
- base64-backdoor.php – system(base64_decode($_GET['c']))
- xor-backdoor.php – XOR ile şifrelenmiş string
- 404-shell.php – 404 hata sayfasına gömülü
- wp-reset.php – WordPress reset işlemi kılığında
- image-shell.php – GIF/JPEG magic bytes ile gizlenmiş PHP
- .htaccess-shell – AddType application/x-httpd-php .jpg ile resim shell çalıştırma
- xmlrpc-shell.php – xmlrpc.php üzerinden çağrılan shell
- customizer-shell.php – WordPress Customizer enjeksiyonu
- mu-plugins-shell.php – Must-Use eklentileri içine gizlenmiş
- wp-cron-shell.php – WP-Cron ile periyodik çalışan shell
- up.php, cmd.php, shell.php, backdoor.php – En yaygın dosya adları
- wp-content/uploads/2025/.../shell.php – Yaygın yol
- wp-includes/ID3/shell.php – Çekirdek dizine gömülü
- wp-admin/images/shell.php – Admin resimleri arasında gizli
🇯🇦 JSP Web Shell’leri
- jsp-shell.jsp – Runtime.getRuntime().exec()
- jspshell.jsp – Dosya yükleme + komut çalıştırma
- cmd.jsp – Basit komut çalıştırıcı
- upload.jsp – Dosya yükleme scripti
- backdoor.jsp – Genel amaçlı
- turkish-hack-shell.jsp – Base64 şifreli, Türk grupların kullandığı
- webshell.jsp, shell.jsp, admin.jsp, manager.jsp
- test.jsp, debug.jsp, info.jsp, env.jsp
- exec.jsp, file.jsp, download.jsp, net.jsp, sql.jsp, proxy.jsp
- bind.jsp, reverse.jsp, pwn.jsp
🇦🇸 ASP / ASPX Web Shell’leri
- cmd.aspx – System.Diagnostics.Process.Start
- shell.aspx, webshell.aspx, backdoor.aspx
- upload.aspx, download.aspx, exec.aspx, info.aspx
- cmd.asp, shell.asp, webshell.asp, backdoor.asp, upload.asp
- fso.asp – FileSystemObject ile dosya işlemleri
- wscript.asp – WScript.Shell ile komut
- adsi.asp, db.asp, xml.asp, soap.asp, mail.asp, ftp.asp, reg.asp
- service.asp, task.asp, wmi.asp
🐍 Python Web Shell’leri (CGI / WSGI)
- shell.py – os.system veya subprocess.call
- cmd.py, upload.py, backdoor.py
- cgi-shell.py – CGI script olarak
- wsgi-shell.py – WSGI uygulaması kılığında
- weird.py (W4SP) – Token ve şifre toplayan stealer
- reverse.py, bind.py, proxy.py, tunnel.py
- keylogger.py, screenshot.py, webcam.py, mic.py
- persist.py, scanner.py, exploit.py, c2.py
🧩 Perl, Ruby, Go, Bash (CGI) Shell’leri
- Perl: shell.pl, cmd.pl, upload.pl, backdoor.pl, cgi-shell.pl, japh-shell.pl, obfu-shell.pl, base64-shell.pl, socket-shell.pl
- Ruby: shell.rb, cmd.rb, upload.rb, backdoor.rb, rack-shell.rb, rails-shell.rb, sinatra-shell.rb, erb-shell.rb
- Go: shell.go, cmd.go, upload.go, backdoor.go, static-shell.go, http-shell.go, websocket-shell.go, c2-shell.go
- Bash CGI: shell.cgi, cmd.cgi, upload.cgi, backdoor.cgi, env.cgi, info.cgi, ping.cgi, test.cgi
🪟 Windows Batch / VBS / PowerShell Shell’leri
- Batch: cmd.bat
- VBS: shell.vbs
- PowerShell: shell.ps1, cmd.ps1, upload.ps1, backdoor.ps1, meterpreter.ps1, amsi-bypass.ps1, wmi-shell.ps1, winrm-shell.ps1, scheduled-shell.ps1
🌐 Çapraz Platform / Diğer Diller
- Node.js: node-shell.js, node-cmd.js, node-upload.js, node-backdoor.js, express-shell.js, socketio-shell.js
- Lua: lua-shell.lua, lua-cmd.lua (Nginx/Apache modülü)
- Tcl: tcl-shell.tcl, tcl-cmd.tcl
- Rust: rust-shell.rs, rust-c2.rs
- C#: csharp-shell.aspx, csharp-shell.cshtml
- Java Servlet: java-shell.java
- Kotlin: kotlin-shell.kt
- Scala: scala-shell.scala
🎭 Gizleme / Obfuskasyon Tekniklerine Göre Shell’ler
- base64-shell, rot13-shell, hex-shell, octal-shell, strrev-shell
- gzip-shell, bzip2-shell, xor-shell, aes-shell, rc4-shell
- image-shell (resim içine gömülü), pdf-shell, doc-shell, xls-shell
- hta-shell, js-shell (browser veya Node.js), wsf-shell, wsc-shell, wsh-shell
- chm-shell, lnk-shell, scr-shell
🛡️ 3. HIZLI TESPİT & KORUNMA İPUÇLARI
- Güncelleme: Eklenti, tema ve çekirdeği her zaman son sürümde tut.
- WAF Kullan: ModSecurity, Cloudflare, Sucuri, Wordfence.
- Dosya Entegrite İzleme: tripwire, aide, wp-integrity.
- Shell İmzalarını Tara: eval(, base64_decode(, system(, passthru(, exec(, shell_exec(, popen(, proc_open(, assert(, preg_replace(/e, call_user_func(, array_map(, ob_start(.
- Gizli Dosyaları Kontrol Et: .shell.php, .backdoor.php, .index.php.
- Logları İncele: POST /wp-admin/admin-ajax.php, ?nf_fu_upload=1, ?wpvivid_action=send_to_site gibi anormal istekleri ara.
- Yedekleme: Düzenli yedek al ve yedekleri test et.
📚 4. DOĞRULAMA KAYNAKLARI
- CVE Resmî Listesi
- Patchstack Database
- Wordfence Intelligence
- WPScan Vulnerability Database
- NVD (NIST)
- Exploit-DB (Shells)
- GitHub – webshell araması
Hazırlayan: @Tc4dy – github.com/tc4dy
💬 SpyHackerz Telegram — Anlık tartışmalar ve duyurular için katıl
