【安全资讯】WordPress安全插件WP Ghost存在远程代码执行漏洞

概要：

WordPress安全插件WP Ghost近期被发现存在一个严重的远程代码执行漏洞，可能导致未经身份验证的攻击者远程执行代码并接管服务器。该插件在超过20万个WordPress网站中被广泛使用，每月声称阻止140,000次黑客攻击和超过900万次暴力破解尝试。

主要内容：

WP Ghost的漏洞被追踪为CVE-2025-26909，CVSS评分高达9.6，影响所有版本的WP Ghost，直到5.4.01。该漏洞源于'showFile()'函数中的输入验证不足，攻击者可以通过操控的URL路径包含任意文件。此漏洞仅在WP Ghost的“更改路径”功能设置为Lite或Ghost模式时触发，尽管这些模式默认未启用，但Patchstack指出，几乎所有设置都适用本地文件包含（LFI）部分。

根据Patchstack的报告，由于URL路径的用户输入值不足，该漏洞可能导致几乎所有环境设置下的远程代码执行。虽然LFI本身不一定导致RCE，但仍可能引发信息泄露、会话劫持、日志污染、源代码访问和拒绝服务（DoS）攻击等危险场景。

该漏洞由研究员Dimas Maulana于2025年2月25日发现，Patchstack于3月3日通知了供应商。次日，WP Ghost的开发者在用户提供的URL或路径上增加了额外的验证，修复已在WP Ghost版本5.4.02中实施，用户被建议升级以缓解CVE-2025-26909的影响。