Критическая уязвимость в плагине WP Ghost оставляет более 200 000 сайтов под угрозой взлома
WordPress – одна из самых популярных систем управления контентом (CMS), для которой разработано множество плагинов, обеспечивающих защиту сайта. Один из таких плагинов – WP Ghost, предназначенный для усиления безопасности и имеющий более 200 000 активных установок. Однако недавно специалисты в области кибербезопасности обнаружили в нем серьезную уязвимость.
Эта уязвимость зарегистрирована под идентификатором CVE-2025-26909 и получила 9.6 балла по шкале CVSS 3.1, что делает ее критической (critical). Уязвимость связана с Local File Inclusion (LFI), который позволяет злоумышленникам выполнять Remote Code Execution (RCE) – удаленное выполнение кода. Таким образом, хакеры могут отправлять специально сформированные запросы и запускать вредоносные скрипты на сайте.
Детали уязвимости
🔹 Тип уязвимости: Local File Inclusion (LFI) с возможностью Remote Code Execution (RCE)
🔹 Идентификатор: CVE-2025-26909
🔹 Уровень угрозы: Критический (9.6 CVSS)
🔹 Затронутые версии: WP Ghost 5.4.01 и более ранние версии
🔹 Исправленная версия: 5.4.02, выпущена 4 марта 2025 года
🔹 Условия эксплуатации: Включена функция «Change Paths» в режиме Lite или Ghost
Данная уязвимость была обнаружена исследователем Dimas Maulana из Patchstack Alliance. Он выяснил, что проблема кроется в функции showFile, которая обрабатывает запросы к файлам и не выполняет достаточную проверку переданных параметров.
Как отметила команда Patchstack:
«В плагине WP Ghost была уязвимость Local File Inclusion, доступная без аутентификации. Она возникла из-за недостаточной проверки URL-адресов, отправляемых пользователем.»
Технический анализ
Функция maybeShowNotFound, которая связана с событием template_redirect, может быть вызвана неавторизованными пользователями. Если посетитель сайта переходит по некорректному URL, эта функция активируется, создавая условия для эксплуатации уязвимости.
Злоумышленники могут:
- Манипулировать путями к файлам,
- Использовать специальные конструкции php://filter,
- Применять технику PHP_SESSION_UPLOAD_PROGRESS для выполнения произвольного кода на сервере.
Возможные последствия уязвимости
✅ Полный контроль над сайтом – хакеры могут получить доступ к административной панели.
✅ Кража конфиденциальных данных – учетные записи, пароли, cookies и другая информация окажутся под угрозой.
✅ Размещение вредоносных программ – сайт может быть использован для распространения вредоносных скриптов среди его посетителей.
Как защититься от атаки?
Владельцам сайтов на WordPress, использующим плагин WP Ghost, необходимо немедленно предпринять следующие меры безопасности:
✅ Обновите плагин WP Ghost до версии 5.4.02 или выше.
✅ Проверьте свой сайт на следы взлома. Просмотрите журналы веб-сервера на предмет подозрительных запросов или попыток выполнения кода.
✅ Используйте дополнительные меры защиты. Включите Web Application Firewall (WAF) или установите другие плагины безопасности.
✅ Удалите ненужные плагины и следите за их обновлениями.
Команда Patchstack уведомила разработчика WP Ghost, John Darrel, о проблеме 3 марта 2025 года. Уже через 24 часа он выпустил обновленную версию с исправлениями.
Какие исправления были внесены?
Разработчики WP Ghost в новой версии усилили проверку пользовательских данных при обработке URL и файловых путей, что исключает возможность загрузки вредоносных файлов злоумышленниками.
Уязвимости в плагинах WordPress – один из основных векторов атак киберпреступников. Уязвимость CVE-2025-26909 – еще одно напоминание о том, насколько важно своевременно обновлять плагины. В противном случае сайт может быть полностью взломан.
Пользователи WordPress должны:
- Регулярно обновлять плагины,
- Анализировать подозрительные активности,
- Использовать дополнительные средства защиты.
Этот инцидент еще раз подтверждает:
«Безопасность сайта – это непрерывный процесс. Любая система или плагин должны регулярно проверяться и обновляться!»
