/https://www.html.it/app/uploads/2025/03/WP-Ghost-.jpg "WordPress Ghost: vulnerabilità di esecuzione di codice da remoto")
Il plugin di sicurezza WP Ghost per WordPress, utilizzato su oltre 200.000 siti web, è stato recentemente scoperto vulnerabile a una grave falla di esecuzione di codice remoto (RCE) che potrebbe permettere ad attaccanti non autenticati di compromettere i server. Questo problema rappresenta una minaccia significativa per i siti web che utilizzano il plugin, poiché potrebbe portare alla completa compromissione del sito.
La vulnerabilità, identificata come CVE-2025-26909, colpisce tutte le versioni di WP Ghost fino alla versione 5.4.01 e risiede in una gestione inadeguata dell'input nella funzione 'showFile()'. La falla consente agli aggressori di manipolare i percorsi URL e includere file arbitrari nel sistema. Sebbene il problema si verifichi solo se la modalità Lite o Ghost di WP Ghost è attivata, Patchstack ha avvertito che la parte relativa all'inclusione di file locali (LFI) è applicabile a quasi tutte le configurazioni, aumentando così il rischio.
Gravi rischi e conseguenze
Secondo il rapporto di Patchstack, la vulnerabilità permette di includere file tramite percorsi URL manipolati. Questo comportamento, se sfruttato in modo malintenzionato, può portare a gravi conseguenze come l'esecuzione di codice remoto, a meno che la configurazione del server non limiti tale exploit. Anche in assenza di RCE, l'LFI rimane comunque rischioso, consentendo attacchi come la divulgazione di informazioni, il dirottamento delle sessioni, il log poisoning, e attacchi come il Denial of Service (DoS).
La scoperta di questa vulnerabilità è stata fatta dal ricercatore Dimas Maulana il 25 febbraio 2025, e dopo un'analisi approfondita, Patchstack ha notificato il problema agli sviluppatori di WP Ghost il 3 marzo. Il giorno successivo, il team di sviluppo ha rilasciato una correzione che include un'ulteriore validazione degli URL per prevenire l'inclusione di file non autorizzati. La patch è stata introdotta nella versione 5.4.02 di WP Ghost, con una versione successiva 5.4.03 già disponibile per gli utenti. Gli amministratori di siti che utilizzano WP Ghost sono quindi invitati a aggiornare il plugin al più presto per mitigare i rischi associati a questa vulnerabilità critica.
/https://www.html.it/app/uploads/2025/03/sicurezza-480x300.webp)
/https://www.html.it/app/uploads/2025/03/WA-vulnerabilita.jpg)
/https://www.html.it/app/uploads/2025/03/dot-wa.jpg)
/https://www.html.it/app/uploads/2025/03/android-nordcorea.jpg)