Plateforme
wordpress
Composant
hide-my-wp
Corrigé dans
5.4.02
Une vulnérabilité de type Path Traversal a été découverte dans le plugin WP Ghost (Hide My WP Ghost) – Security & Firewall pour WordPress. Cette faille, présente dans toutes les versions jusqu'à 5.4.01, permet à des attaquants non authentifiés d'accéder à des fichiers sensibles sur le serveur via la fonction showFile. La mise à jour vers la version 5.4.02 corrige cette vulnérabilité.
L'exploitation réussie de cette vulnérabilité permet à un attaquant non authentifié de lire le contenu de fichiers spécifiques sur le serveur WordPress. Les fichiers potentiellement accessibles peuvent contenir des informations sensibles telles que des fichiers de configuration, des clés API, des données de connexion à la base de données, ou d'autres données confidentielles. Un attaquant pourrait ainsi compromettre la sécurité de l'ensemble de l'application WordPress et potentiellement accéder à des informations sensibles relatives aux utilisateurs ou à l'entreprise. Cette vulnérabilité est similaire à d'autres failles de Path Traversal qui ont permis l'accès à des données critiques dans des environnements web.
Cette vulnérabilité a été rendue publique le 14 mars 2025. Il n'y a pas d'indications d'une exploitation active à ce jour, mais la nature de la vulnérabilité (Path Traversal) la rend potentiellement exploitable. La probabilité d'exploitation est considérée comme moyenne en raison de la popularité du plugin et de la facilité d'exploitation. Il est conseillé de surveiller les forums de sécurité et les bases de données de vulnérabilités pour d'éventuelles mises à jour.
WordPress websites using the WP Ghost (Hide My WP Ghost) – Security & Firewall plugin, particularly those running versions 0.0.0 through 5.4.01, are at risk. Shared hosting environments where multiple WordPress installations share the same server resources are especially vulnerable, as a compromise of one site could potentially expose files on other sites.
• wordpress / composer / npm:
grep -r "showFile function" /var/www/html/wp-content/plugins/wp-ghost/• generic web:
curl -I 'https://your-wordpress-site.com/wp-content/plugins/wp-ghost/showFile?file=../../../../etc/passwd' # Attempt to access sensitive filedisclosure
Statut de l'Exploit
EPSS
1.29% (percentile 80%)
CISA SSVC
Vecteur CVSS
La mitigation immédiate consiste à mettre à jour le plugin WP Ghost vers la version 5.4.02 ou supérieure. Si la mise à jour n'est pas possible immédiatement, il est recommandé de restreindre l'accès au répertoire du plugin via les paramètres du serveur web (par exemple, en utilisant un fichier .htaccess pour bloquer l'accès direct aux fichiers). En attendant la mise à jour, une surveillance accrue des journaux d'accès du serveur peut aider à détecter les tentatives d'exploitation. Après la mise à jour, vérifiez l'intégrité des fichiers du plugin pour confirmer que la correction a été correctement appliquée.
Actualice el plugin WP Ghost (Hide My WP Ghost) – Security & Firewall a la versión 5.4.02 o superior para mitigar la vulnerabilidad de Path Traversal. Esta actualización corrige el problema permitiendo que el acceso a archivos esté restringido y evitando la lectura no autorizada de archivos sensibles.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
CVE-2025-2056 is a Path Traversal vulnerability affecting the WP Ghost plugin for WordPress, allowing attackers to read sensitive files on the server.
You are affected if you are using WP Ghost plugin versions 0.0.0 through 5.4.01. Upgrade to 5.4.02 or later to resolve the issue.
Upgrade the WP Ghost plugin to version 5.4.02 or later. Consider temporary workarounds like restricting file access permissions if immediate upgrade is not possible.
As of the public disclosure date, there are no confirmed reports of active exploitation, but the vulnerability is publicly known.
Refer to the official WP Ghost plugin website or WordPress plugin repository for the latest advisory and update information.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.