Nieuws
image

Lek in populaire WP Ghost-plugin maakt WordPress-sites kwetsbaar

vrijdag 21 maart 2025, 11:41 door Redactie, 7 reacties

De WP Ghost-plugin voor WordPress bevat een kwetsbaarheid die het mogelijk maakt op afstand code uit te voeren op systemen die WordPress draaien. De kwetsbaarheid is inmiddels verholpen via een update. Hiervoor waarschuwt Patchstack, dat in een blogpost details over het lek deelt.

Het gaat om CVE-2025-26909, wat een Local File Inclusion (LFI)-kwetsbaarheid is en wordt ingeschaald als kritiek. LFI is een type beveiligingskwetsbaarheid in webapplicaties die ontstaat indien applicaties invoer van gebruikers accepteren zonder deze correct te valideren of op te schonen. In de praktijk maakt dit het mogelijk bestanden op de server te lezen die normaal niet toegankelijk zouden zijn, of op afstand code uit te voeren op systemen.

WP Ghost is een populaire plugin voor WordPress, met meer dan 200.000 actieve installaties. Het securityprobleem treft dan ook een groot aantal WordPress-sites. Het lek is gedicht in versie 5.4.02 van de plugin. Gebruikers krijgen het advies zo snel mogelijk naar deze versie te updaten.

Reacties (7)
Reageer met quote
21-03-2025, 13:01 door Anoniem
Hoe wordt het ge-uploade bestand dan uitvoerbaar gemaakt? want het is bij binnenkomst readonly toch.
Reageer met quote
21-03-2025, 17:11 door DeZin
Het is toch eigenlijk bizar hoeveel organisaties en mensen nog vrijwillig een RAT als WordPress draaien en publiekelijk beschikbaar maken.
Reageer met quote
22-03-2025, 09:25 door Anoniem
Door DeZin: Het is toch eigenlijk bizar hoeveel organisaties en mensen nog vrijwillig een RAT als WordPress draaien en publiekelijk beschikbaar maken.

Het hele internet loopt er op. Maar wat stel jij voor dan? Dat Jantje Doorsnee Apache gaat installeren en in /var/www gaat kloten? Dat gaat nooit gebeuren. Dus rent iedereen gewoon achter de feiten aan. Het is niet anders. En dat gaat ook niet meer veranderen.
Reageer met quote
22-03-2025, 11:13 door Anoniem
Door Anoniem:
Door DeZin: Het is toch eigenlijk bizar hoeveel organisaties en mensen nog vrijwillig een RAT als WordPress draaien en publiekelijk beschikbaar maken.

Het hele internet loopt er op. Maar wat stel jij voor dan? Dat Jantje Doorsnee Apache gaat installeren en in /var/www gaat kloten? Dat gaat nooit gebeuren. Dus rent iedereen gewoon achter de feiten aan. Het is niet anders. En dat gaat ook niet meer veranderen.
Dan zou het eerder \Program Files\Apache Software Foundation\ worden maar WordPress is niet het enige CMS hoor!!
Bij een provider is het meestal kiezen tussen WordPress, Joomla of Drupal. Voor een grote site zou ik voor Django gaan en een ontwikkelaar inhuren.
Reageer met quote
22-03-2025, 11:36 door Anoniem
Maar je kan je plug-innetjes wel scannen en updaten en anders afvoeren,
wat niet meer ondersteund of brak is.

Scan hier: https://hackertarget.com/wordpress-security-scan/

Niet vergeten: user enumeration en directory listing uitschakelen na installatie van je WP site.

Maar velen schaffen een website aan voor een hoop geld en doen dan verder geen onderhoud meer.
De (flinke) rekening zal dan vast later onder in de zak zitten.

Want die de beslissingen nemen, hebben er geen verstand van
en die er verstand van plachten te hebben, daar wordt heel vaak geen rekening mee gehouden.

Helaas, pindakaas.
Reageer met quote
22-03-2025, 12:31 door Anoniem
Door Anoniem: Maar je kan je plug-innetjes wel scannen en updaten en anders afvoeren,
wat niet meer ondersteund of brak is.

Scan hier: https://hackertarget.com/wordpress-security-scan/

Niet vergeten: user enumeration en directory listing uitschakelen na installatie van je WP site.

Maar velen schaffen een website aan voor een hoop geld en doen dan verder geen onderhoud meer.
De (flinke) rekening zal dan vast later onder in de zak zitten.

Want die de beslissingen nemen, hebben er geen verstand van
en die er verstand van plachten te hebben, daar wordt heel vaak geen rekening mee gehouden.

Helaas, pindakaas.
Zo is het precies. Ik ben nu gelukkig met pensioen maar helaas ontelbare keren meegemaakt. Ze pikken het gewoon niet dat iemand laag in de pikorde het beter weet.
Reageer met quote
25-03-2025, 10:58 door Anoniem
Voor een grote site zou ik voor Django gaan en een ontwikkelaar inhuren.

Ja, maar een groot deel van de WP websites is voor de kleinere bedrijven, en die willen graag voor 'weinagh' een plek op het web hebben.

Dus bij een 'snel klaar en goedkoop' bureautje, die dan een website in elkaar trappen met een theme, en dan lekker alles zijn beloop laten. Wat jij voorstelt is voor veel bedrijven financieel een stap te ver. Jammer genoeg....
Reageren
Ondersteunde bbcodes
Bold: [b]bold text[/b]
Italic: [i]italic text[/i]
Underline: [u]underlined text[/u]
Quote: [quote]quoted text[/quote]
URL: [url]https://www.security.nl[/url]
Config: [config]config text[/config]
Code: [code]code text[/code]

Je bent niet en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.

Zoeken
search
Certified Secure