200.000’den fazla aktif kurulum içeren popüler bir WordPress güvenlik eklentisi olan WP Ghost’ta kritik bir güvenlik açığı.
CVSS skoru 9.6 ile CVE-2025-26909 olarak izlenen yüksek şiddetli kusur, kimliksiz saldırganların uzaktan kod yürütülmesine (RCE) yol açabilecek yerel bir dosya içerme (LFI) güvenlik açığından yararlanmasına izin verir.
Web sitesi yöneticilerine, bu ciddi güvenlik riskini azaltmak için hemen 5.4.02 veya daha sonraki sürümlere güncellemeleri tavsiye edilir.
Kritik Yerel Dosya İçerme Güvenlik Açığı
Kritik kırılganlık, PatchTack Alliance’ın güvenlik araştırmacısı Dimas Maulana tarafından keşfedildi.
Kusur, WP Hayalet Eklentisinin dosya işleme işlevinde, özellikle eklentinin kod tabanındaki showfile işlevinde bulunur. Güvenlik açığı, dosya olarak dahil edilebilen URL yolları aracılığıyla kullanıcı girişinin yetersiz doğrulanmasından kaynaklanmaktadır.
“WP Hayalet Eklentisi, kimliği doğrulanmamış bir yerel dosya içerme güvenlik açığından muzdaripti. Güvenlik açığı, bir dosya olarak dahil edilecek URL yolu aracılığıyla yetersiz kullanıcı giriş değeri nedeniyle gerçekleşti”, Patchstack Güvenlik Ekibi
Teknik analiz, güvenlik açığının aşağıdaki fonksiyon çağrılarından yararlanabileceğini ortaya koymaktadır:
Güvenlik açığı, Maybeshownotfound işlevi, kimliksiz kullanıcılar tarafından erişilebilen Template_Redirect’e bağlandığında tetiklenir.
Kimlik doğrulanmamış bir kullanıcı tarafından erişilen bir yol bulunmazsa, savunmasız kod yolunu tetikler, sonuçta saldırganların yol geçişi gerçekleştirmesine ve sunucuya keyfi dosyalar eklemesine izin verir.
| Risk faktörleri | Detaylar |
| Etkilenen ürünler | WP Hayalet Eklentisi (5.4.01’e kadar sürümler), 200.000’den fazla aktif kurulumla |
| Darbe | Uzak Kod Yürütme (RCE) |
| Önkoşuldan istismar | “Değiştirme Yolları” özelliğinin Lite veya Ghost Mode olarak ayarlanmasını gerektirir |
| CVSS 3.1 puanı | 9.6 (kritik önem) |
Saldırı Vektörü ve Etki
Güvenlik danışmanları, bu güvenlik açığı WP Ghost’daki değişiklik yollarının özelliğinin “lite” veya “hayalet” moduna ayarlanmasını gerektirse de, kullanılabilir olduğunda, saldırganların Php: // filtre zincirleri ve php_session_upload_progress hataları dahil olmak üzere çeşitli tekniklerden yararlanmasına izin verir.
Araştırmacılar, “Bu tür LFI güvenlik açığı özellikle tehlikelidir, çünkü etkilenen web sitelerinde kötü amaçlı kod yürütmeye doğrudan bir yol sağlar” dedi.
3 Mart 2025’te bilgilendirildikten sonra, eklenti geliştiricisi John Darrel, güvenlik açığını gidermek için 4 Mart’ta 5.4.02 sürümünü derhal yayınladı. Yama, kullanıcı tarafından sağlanan URL’ler ve yollar için ek doğrulama uygular:
WPSpress Site Yöneticileri için WP Ghost’u kullanan yöneticiler için derhal eylem önerilir:
- WP Ghost sürüm 5.4.02 veya üstüne güncelleme
- Savunmasız bir sürüm çalıştırıyorsanız sitenizin tehlikeye atılmadığını doğrulayın
- Kritik web sitelerini yönetirseniz ek güvenlik önlemleri uygulamayı düşünün
WordPress güvenlik topluluğu, ekosistemdeki benzer güvenlik açıklarını ele almak için bir ittifak kurdu. Patchstack bu güvenlik açığını veritabanına ekledi ve müşterilerini koruyor.
Araştırmacılar, “WordPress ekosistemini daha güvenli hale getirmek bir ekip çabasıdır” dedi. “Eklenti geliştiricilerinin ve güvenlik araştırmacılarının, güvenlik açıklarını verimli bir şekilde raporlamak, yönetmek ve ele almak için MVDP (Yönetilen Güvenlik Açığı Açıklama Programı) gibi programlar aracılığıyla birlikte çalışması gerektiğine inanıyoruz.”
Bu güvenlik açığının keşfi ve sorumlu açıklanması, WordPress ekosisteminin karşılaştığı devam eden güvenlik zorluklarını vurgulamaktadır ve bu da İnternet’teki tüm web sitelerinin yaklaşık% 43’ünü güçlendirir.
Investigate Real-World Malicious Links & Phishing Attacks With Threat Intelligence Lookup - Try for Free