Bleeping Computerはこのほど、「WordPress security plugin WP Ghost vulnerable to remote code execution bug」において、WordPressのセキュリティプラグイン「WP Ghost」から緊急の脆弱性が発見されたと報じた。
この脆弱性を悪用されると、認証されていないリモートの攻撃者に任意のコードを実行される可能性がある。
脆弱性の情報
脆弱性の情報は次のページにまとまっている。
- Critical LFI to RCE Vulnerability in WP Ghost Plugin Affecting 200k+ Sites - Patchstack
- WordPress Hide My WP Ghost plugin <= 5.4.01 - Local File Inclusion to RCE vulnerability - Patchstack
脆弱性の情報(CVE)は次のとおり。
- CVE-2025-26909 - パストラバーサルの脆弱性。認証されていないリモートの攻撃者は、細工したパスにアクセスすることで任意のファイルへのアクセスまたは任意のコードを実行できる可能性がある(CVSSスコア: 9.6)
この脆弱性はプラグインのパス変更機能を「Liteモード」または「Ghostモード」に設定している場合にのみ影響する。
脆弱性が存在する製品
脆弱性が存在するとされる製品およびバージョンは次のとおり。
- WP Ghost 5.4.01およびこれ以前のバージョン
脆弱性が修正された製品
脆弱性が修正された製品およびバージョンは次のとおり。
- WP Ghost 5.4.02
影響と対策
セキュリティプラグイン「WP Ghost」は20万サイト以上にインストールされている人気のWordPressプラグインだ。毎月14万件のサイバー攻撃と900万件を超えるブルートフォース攻撃を阻止しているとされる。
今回はこのセキュリティプラグインから脆弱性が発見された。脆弱性の深刻度は緊急(Critical)と評価されており注意が必要。当該プラグインを利用しているWordPressサイトの管理者には、速やかにプラグインをアップデートすることが推奨されている。