- WP Ghost, ein beliebtes Sicherheits-Plugin, trug einen 9,6-fehlerhaften Fehler
- Es ermöglicht Bedrohungsakteuren, böswilligen Code auszuführen, aus der Ferne
- Die Entwickler haben einen Patch veröffentlicht, und Benutzer sollten jetzt aktualisieren
WP Ghost, eine beliebte Sicherheit WordPress -Pluginhatte eine Sicherheitsanfälligkeit, die es Bedrohungsakteuren ermöglichte, RECE -Angriffe (Remote Code Execution) zu starten und ganze Websites zu übernehmen.
Alle Versionen von WP Ghost bis 5.4.01 sind fehlerhaft. Wenn Sie dieses Plugin verwenden, sollten Sie es auf Version 5.4.02 aktualisieren.
“Das WP Ghost -Plugin litt unter einer nicht authentifizierten Verwundbarkeit der lokalen Dateieinschluss”, erklärte Forscher von PatchStack. “Die Sicherheitsanfälligkeit trat aufgrund des unzureichenden Benutzereingabwerts über den URL -Pfad auf, der als Datei enthalten ist. Aufgrund des Verhaltens des LFI -Falls könnte diese Verwundbarkeit zu einer Ausführung von Remote -Code bei fast allen Umgebungsaufnahmen führen.”
Aktualisieren der Add-Ons
Der Fehler wird jetzt als CVE-2025-26909 verfolgt und erhielt eine Schweregradbewertung von 9,6/10 (kritisch). Es wurde durch Hinzufügen einer zusätzlichen Validierung auf die mitgelieferte URL oder Pfad des Benutzers gepatcht.
WP Ghost ist beliebt Website Builder Sicherheits -Plugin mit mehr als 200.000 Installationen.
Auf der Seite des Plugins heißt es, dass es jeden Monat 140.000 Angriffe und mehr als neun Millionen Brute-Force-Versuche stoppt.
Es behauptet, Schutz vor SQL -Injektion, Skriptinjektion, Ausbeutung von Sicherheitsanfälligkeiten zu bieten, Malware Ab fallen, Dateieinschluss-Exploits, Directory-Traversal-Angriffe und Skriptangriffe im Cross-Site-Scripting.
“Wenn Sie mit von Benutzer bereitgestellten Daten für einen lokalen Dateieinschlussprozess arbeiten, implementieren Sie immer eine strenge Überprüfung des angegebenen Werts und ermöglichen es Benutzern nur, auf bestimmte oder whitelistete Pfade oder Dateien zuzugreifen”, schloss Patchstack.
WordPress ist ein Hauptziel für Cyberkriminelle, und seine Plattform ist ziemlich robust, aber es verfügt über ein riesiges Repository von Plugins und Themen von Drittanbietern, sowohl kostenlos als auch bezahlte.
Viele davon sind anfällig für verschiedene Heldentaten, weshalb WordPress-Benutzer empfohlen werden, ihre Add-Ons sorgfältig auszuwählen und sie immer auf dem Laufenden zu halten.
Über BleepingComputer
Sie könnten auch mögen
Source link
