Этот популярный плагин для WordPress может скрывать серьезную уязвимость безопасности, будьте бдительны

Популярный плагин безопасности WP Ghost содержал уязвимость с критическим уровнем опасности (9.6/10), которая позволяла злоумышленникам выполнять вредоносный код удаленно. Разработчики выпустили исправление, и пользователи должны немедленно обновить его.

В WP Ghost, популярном плагине безопасности WordPress, была обнаружена уязвимость, позволяющая злоумышленникам запускать атаки Remote Code Execution (RCE) и захватывать целые веб-сайты. Все версии WP Ghost до 5.4.01 имеют этот недостаток, поэтому если вы используете этот плагин, убедитесь, что обновили его до версии 5.4.02.

«Плагин WP Ghost страдал от уязвимости Local File Inclusion (LFI) без аутентификации», – объяснили исследователи из Patchstack. «Уязвимость возникла из-за недостаточной проверки значений, вводимых пользователем через URL-путь, который будет включен как файл. Из-за поведения случая LFI эта уязвимость могла привести к Remote Code Execution практически в любой среде».

Исправление ошибки
Ошибка сейчас отслеживается под CVE-2025-26909 и получила оценку серьезности 9,6/10 (критическая). Она была исправлена путем добавления дополнительной проверки предоставляемого пользователем URL-адреса или пути.

WP Ghost – это популярный плагин безопасности для конструкторов веб-сайтов с более чем 200 000 установками. На странице плагина говорится, что он блокирует 140 000 атак и более девяти миллионов попыток перебора паролей каждый месяц. Он утверждает, что обеспечивает защиту от SQL-инъекций, скриптовых инъекций, эксплуатации уязвимостей, размещения вредоносных программ, уязвимостей включения файлов, атак по обходу директорий и атак межсайтовой подделки.

«При работе с данными, предоставляемыми пользователем для процесса включения локального файла, всегда реализуйте строгую проверку предоставленного значения и разрешайте пользователям доступ только к определенным или включенным в белый список путям или файлам», – заключили Patchstack.

WordPress является основной целью киберпреступников, и его платформа довольно надежна, но она поставляется с огромным репозиторием плагинов и тем сторонних разработчиков, как бесплатных, так и платных. Многие из них уязвимы для различных эксплойтов, поэтому пользователям WordPress рекомендуется тщательно выбирать свои дополнения и всегда убеждаться в их обновлении.