Popüler WordPress Güvenlik Eklentisi WP Ghost, kimlik doğrulanmamış saldırganların uzaktan kod ve kaçırma sunucularını yürütmesine izin verebilecek kritik bir ciddiyet kusuruna karşı savunmasızdır.
WP Ghost, 140.000 hacker saldırısını durdurduğunu ve her ay 9 milyondan fazla kaba zorlama girişimini durduran 200.000’den fazla WordPress sitesinde kullanılan popüler bir güvenlik eklentisidir.
Ayrıca SQL enjeksiyonu, komut dosyası enjeksiyonu, güvenlik açığı kullanımı, kötü amaçlı yazılım bırakma, dosya dahil etme istismarları, dizin geçiş saldırıları ve siteler arası komut dosyalarına karşı koruma sağlar.
Bununla birlikte, PatchTack tarafından açıklandığı gibi, güvenlik aracının kendisi, tam bir web sitesi devralmasına yol açabilecek kritik (CVSS Puanı: 9.6) Uzak Kod Yürütme (RCE) güvenlik açığına karşı savunmasızdır.
CVE-2025-26909 olarak izlenen kusur, WP Ghost’un tüm sürümlerini 5.4.01’e kadar etkiler ve ‘Showfile ()’ işlevinde yetersiz giriş doğrulamasından kaynaklanır. Kusurdan yararlanmak, saldırganların manipüle edilmiş URL yolları aracılığıyla keyfi dosyaları dahil etmesine izin verebilir.
Kusur yalnızca WP Ghost’un “Değişiklik Yolları” özelliği Lite veya Ghost Mode olarak ayarlanmışsa tetiklenir. Bu modlar varsayılan olarak etkin olmasa da, PatchTack, yerel dosya dahil etme (LFI) parçasının neredeyse tüm kurulumlar için geçerli olduğunu not eder.
PatchTack’in raporu, “Güvenlik açığı, dosya olarak dahil edilecek URL yolu üzerinden yetersiz kullanıcı giriş değeri nedeniyle meydana geldi.”
“LFI davasının davranışı nedeniyle, bu güvenlik açığı neredeyse tüm çevre kurulumunda uzaktan kod yürütülmesine yol açabilir.”
Bu nedenle, güvenlik açığı LFI’ye evrensel olarak izin verir, ancak RCE’ye yükselip yükselmediği belirli sunucu yapılandırmasına bağlıdır.
RCE’siz LFI, bilgi açıklaması, oturum kaçırma, kütük zehirlenmesi, kaynak koduna erişim ve hizmet reddi (DOS) saldırıları gibi senaryolar aracılığıyla hala tehlikeli olabilir.
25 Şubat 2025’te araştırmacı Dimas Maulana tarafından kusurun keşfedilmesinin ardından PatchTack, dahili olarak analiz etti ve sonunda 3 Mart’ta satıcıya haber verdi.
Ertesi gün, WP Ghost’un geliştiricileri, sağlanan URL veya kullanıcılardan yolda ek bir doğrulama şeklinde bir düzeltme ekledi.
Yama, WP Ghost sürüm 5.4.02’ye dahil edilirken, 5.4.03 sürümü de bu arada sunulmuştur.
Kullanıcıların CVE-2025-26909’u azaltmak için her iki sürüme yükseltilmeleri önerilir.
14 metrelik kötü niyetli eylemlerin analizine dayanarak, saldırıların% 93’ünün ve bunlara karşı nasıl savunulacağının arkasındaki en iyi 10 MITER ATT & CK tekniklerini keşfedin.