Kritická zraniteľnosť modulu WordPress Ghost
V module WordPress Ghost bola opravená kritická zraniteľnosť, ktorá umožňuje vzdialene vykonávať kód. Chyba spočíva v možnosti vykonávať útoky typu LFI manipuláciou odkazu URL.
Zraniteľné systémy:
- WordPress Ghost verzie 5.4.01 a staršie
Opis činnosti:
CVE-2025-26909 (CVSS skóre 9,6)
Kritická zraniteľnosť umožňuje neautentifikovanému útočníkovi vzdialene vykonávať kód. Chyba spočíva v nedostatočnom overovaní používateľských vstupov vo funkcii showFile(), čo umožňuje útočníkovi prechádzať medzi adresármi a vkladať ľubovoľné súbory servera do upraveného odkazu URL (útok typu Local File Inclusion).
Zraniteľnosť je aktívna, ak je vlastnosť Change Paths nastavená na mód Lite alebo Ghost.
Možné škody:
- Vzdialené vykonávanie kódu
Odporúčania:
Bezodkladná aktualizácia modulu WordPress Ghost aspoň na verziu 5.4.02. Zraniteľnosť možno mitigovať zmenou nastavenia vlastnosti Change Paths na iný mód, ako Lite alebo Ghost.
Odkazy: