Een ernstige kwetsbaarheid in de populaire WordPress-securityplugin WP Ghost stelt aanvallers in staat om ongeautoriseerde toegang te krijgen tot websites. De Local File Inclusion (LFI) kwetsbaarheid kan leiden tot Remote Code Execution (RCE) en treft meer dan 200.000 actieve installaties.
De kwetsbaarheid, geregistreerd als CVE-2025-26909, is ontdekt door Patchstack-onderzoeker Dimas Maulana. Het probleem is inmiddels opgelost in versie 5.4.02 van de plugin, die op 4 maart 2025 werd uitgebracht.
De kwetsbaarheid bevindt zich in de showFile-functie van de plugin. Door onvoldoende validatie van gebruikersinvoer via het URL-pad kan een aanvaller op de server willekeurige code uitvoeren. Dit kan vervolgens leiden tot het uitvoeren van kwaadaardige code op de getroffen website.
Werking
Het probleem ontstaat wanneer de functie maybeShowNotFound wordt aangeroepen, die vervolgens de showFile-functie activeert zonder adequate controle van de URL-paden. Hierdoor kunnen aanvallers via path traversal-technieken toegang krijgen tot bestanden op de server.
De kwetsbaarheid kan alleen worden uitgebuit als de ‘Change Paths’-functie in WP Ghost is ingesteld op ‘Lite’ of ‘Ghost’-modus. Deze instelling is standaard niet geactiveerd, wat de impact enigszins beperkt. Patchstack, het beveiligingsbedrijf dat de kwetsbaarheid heeft gerapporteerd, benadrukt dat klanten die hun diensten gebruiken al beschermd zijn tegen deze kwetsbaarheid.
Websitebeheerders die WP Ghost gebruiken, worden dringend geadviseerd om zo snel mogelijk te updaten naar versie 5.4.02 of hoger om hun websites te beschermen tegen mogelijke aanvallen.