wordpress smart slider 3 eklentisinde dosya okuma açığı, 800 bin site etkileniyor

Posted on 30 Mar 2026

arkadaşlar, wordpress kullanıyorsanız ve smart slider 3 eklentiniz varsa, hemen bu yazıyı okuyun. 800 binden fazla sitede kullanılan bu eklentide ciddi bir dosya okuma açığı bulunmuş. CVE-2025-2627 numaralı bu zafiyet sayesinde, subscriber seviyesindeki bir kullanıcı bile sunucudaki dosyaları okuyabiliyor. yani en düşük yetkili kullanıcı bile wp-config.php’nizi okuyabilir. ciddi ciddi hemen güncelleyin.

ne olmuş yani?

smart slider 3 eklentisinin 3.5.1.26 ve önceki versiyonlarında bir zafiyet var. bu CVE-2025-2627 açığı, arbitrary file read (keyfi dosya okuma) zafiyeti denen şeylerden. şöyle ki: eklenti, dosya yollarını düzgün kontrol etmemiş ve path traversal denen klasik saldırıya açık bırakmış kendini.

cvss skoru: 6.5 (ortalama seviye ama ciddiye alın 🟡)

zafiyet türü: arbitrary file read / path traversal

saldırı vektörü: subscriber seviyesinde hesabı olan herhangi bir kullanıcı, özel hazırlanmış isteklerle sunucudaki dosyaları okuyabilir. wp-config.php, .htaccess, hatta sunucu üzerindeki diğer hassas dosyalar bile okunabilir durumda.

spoiler: bu açık henüz aktif olarak sömürülmüyor ama wordpress eklentisi açıkları çabuk yayılır, acele edin.

etkilenen sistemler

Sistem/VersiyonDurum
Smart Slider 3 ≤ 3.5.1.26✅ Etkileniyor
Smart Slider 3 ≥ 3.5.1.27❌ Etkilenmiyor (yamalı)
WordPress (tüm versiyonlar)⚠️ Eklenti yüklüyse risk var

ne yapmalısınız, hemen?

1. eklenti versiyonunu kontrol edin

wordpress admin panelinize girin:

# wp-cli kullanıyorsanız:
wp plugin list | grep smart-slider-3

# veya admin panelden:
# Eklentiler > Yüklü Eklentiler > Smart Slider 3'ü bulun

2. güncellemeyi yapın

# wp-cli ile:
wp plugin update smart-slider-3

# veya manuel olarak:
# Eklentiler > Güncelleme Mevcut > Smart Slider 3 > Şimdi Güncelle

3. subscriber kullanıcılarınızı gözden geçirin

bu açık subscriber seviyesindeki kullanıcılar tarafından kullanılabilir. gereksiz subscriber hesapları varsa temizleyin:

# wp-cli ile subscriber listesi:
wp user list --role=subscriber

# şüpheli hesapları silin:
wp user delete <user_id> --yes

4. loglarınızı kontrol edin

özellikle smart slider ile ilgili endpoint’lere yapılan şüpheli istekleri arayın:

# access log'larında şüpheli istekleri arayın:
grep -i "smart-slider" /var/log/apache2/access.log
grep -i "smart-slider" /var/log/nginx/access.log

# wp-config.php dosyasına erişim denemelerini kontrol edin:
grep -i "wp-config" /var/log/apache2/access.log

geçici çözümler (hemen güncelleyemeyenler için)

1. eklentiyi devre dışı bırakın

eğer smart slider 3’ü aktif olarak kullanmıyorsanız, güncelleme yapana kadar devre dışı bırakın:

wp plugin deactivate smart-slider-3

2. waf kuralı ekleyin

modsecurity veya cloudflare kullanıyorsanız, smart slider endpoint’lerine subscriber kullanıcılardan gelen istekleri engelleyin. ama bu geçici çözüm, asıl çözüm güncelleme yapmak.

3. dosya izinlerini sıkılaştırın

wp-config.php ve diğer hassas dosyaların izinlerini kontrol edin:

chmod 600 wp-config.php
chmod 644 .htaccess

teknik detaylar (meraklılarına)

CVE-2025-2627 açığı, eklentinin dosya yollarını sanitize etmemesinden kaynaklanıyor. path traversal saldırıları denen klasik yöntemle (../../ gibi), saldırgan wordpress dizini dışındaki dosyalara bile erişebiliyor.

örnek saldırı vektörü şöyle olabilir:

  • subscriber hesabıyla giriş yap
  • smart slider’ın dosya işleme endpoint’ine istek at
  • path traversal karakterleriyle wp-config.php’ye eriş
  • veritabanı şifrelerini, api key’lerini vs. oku

edit: wordfence bu açığı 25 mart 2025’te duyurdu. smart slider ekibi hemen 3.5.1.27 versiyonunu yayınladı. şu an güncel versiyon 3.5.1.27, ona güncelleyin.

neden bu kadar önemli?

800 bin sitede kullanılan bir eklenti bu. wp-config.php dosyasına erişim demek:

  • veritabanı kullanıcı adı ve şifresi
  • wordpress güvenlik anahtarları (salt keys)
  • api anahtarları
  • diğer hassas bilgiler

bu bilgilerle saldırgan:

  • veritabanınıza direkt bağlanabilir
  • tüm kullanıcı bilgilerini çekebilir
  • admin hesabı oluşturabilir
  • sitenizi tamamen ele geçirebilir

kaynaklar

sonuç

agalar, bu iş şaka değil. 800 bin site demek çok büyük bir saldırı yüzeyi demek. subscriber hesabı olan herhangi biri bu açığı kullanabilir. hemen şunları yapın:

  1. ✅ smart slider 3’ü 3.5.1.27 versiyonuna güncelleyin
  2. ✅ subscriber kullanıcılarınızı gözden geçirin
  3. ✅ loglarınızı kontrol edin
  4. ✅ wp-config.php dosya izinlerini kontrol edin

önce test ortamında deneyin, sonra production’a geçin. yedek almadan bu işlere girişmeyin, sonra ağlarsınız.

wordpress güvenliği zaten hassas bir konu, eklentiler ise en zayıf halka. düzenli güncellemeleri takip edin, gereksiz eklentileri kaldırın, subscriber hesaplarını minimum tutun.

sorularınız varsa yazın, yardımcı olalım.

Bu içerik yapay zeka tarafından oluşturulmuştur.