プラットフォーム
wordpress
コンポーネント
hide-my-wp
修正版
5.4.02
WP Ghost (Hide My WP Ghost) – Security & Firewallプラグインは、WordPressサイトのセキュリティを強化するためのプラグインです。しかし、バージョン0.0.0から5.4.01までのバージョンでは、Path Traversalの脆弱性が存在し、攻撃者による機密情報漏洩のリスクがあります。この脆弱性は、showFile関数を介して悪用される可能性があり、WordPressサイトのセキュリティに重大な影響を与える可能性があります。バージョン5.4.02へのアップデートで修正されています。
このPath Traversal脆弱性は、攻撃者がサーバー上のファイルシステムを探索し、機密情報にアクセスすることを可能にします。攻撃者は、WP GhostプラグインのshowFile関数を悪用することで、Webサーバーのルートディレクトリや、設定ファイル、データベースのバックアップなど、通常アクセスできないファイルの内容を読み取ることができます。これにより、WordPressサイトのソースコード、データベースの認証情報、APIキーなどの機密情報が漏洩する可能性があります。漏洩した情報は、Webサイトの改ざん、不正アクセス、データ窃取など、さらなる攻撃に利用される可能性があります。この脆弱性は、WordPressサイト全体のセキュリティを脅かす重大なリスクとなります。
この脆弱性は、公開されており、攻撃者による悪用が懸念されます。現時点では、KEVリストには登録されていませんが、Path Traversal脆弱性は一般的に悪用されやすく、攻撃キャンペーンの対象となる可能性があります。NVDおよびCISAの公開日は2025年3月14日です。攻撃者は、公開されている情報を基に、自動化されたツールを使用して脆弱性をスキャンし、悪用を試みる可能性があります。
WordPress websites using the WP Ghost (Hide My WP Ghost) – Security & Firewall plugin, particularly those running versions 0.0.0 through 5.4.01, are at risk. Shared hosting environments where multiple WordPress installations share the same server resources are especially vulnerable, as a compromise of one site could potentially expose files on other sites.
• wordpress / composer / npm:
grep -r "showFile function" /var/www/html/wp-content/plugins/wp-ghost/• generic web:
curl -I 'https://your-wordpress-site.com/wp-content/plugins/wp-ghost/showFile?file=../../../../etc/passwd' # Attempt to access sensitive filedisclosure
エクスプロイト状況
EPSS
1.29% (80% パーセンタイル)
CISA SSVC
CVSS ベクトル
WP Ghost (Hide My WP Ghost)プラグインのバージョン5.4.02へのアップデートが最も効果的な対策です。アップデートが直ちに実行できない場合は、Webアプリケーションファイアウォール(WAF)を導入し、Path Traversal攻撃を検知・防御するルールを設定することを推奨します。また、WordPressサイトのファイルパーミッションを適切に設定し、Webサーバーがアクセスできないディレクトリやファイルへのアクセスを制限することも有効です。さらに、WP Ghostプラグインの設定を見直し、不要な機能やアクセス権限を制限することで、攻撃対象領域を縮小することができます。アップデート後、プラグインの動作確認を行い、問題がないことを確認してください。
Actualice el plugin WP Ghost (Hide My WP Ghost) – Security & Firewall a la versión 5.4.02 o superior para mitigar la vulnerabilidad de Path Traversal. Esta actualización corrige el problema permitiendo que el acceso a archivos esté restringido y evitando la lectura no autorizada de archivos sensibles.
脆弱性分析と重要アラートをメールでお届けします。
CVE-2025-2056は、WordPressプラグインWP Ghost (Hide My WP Ghost)のバージョン0.0.0~5.4.01において、showFile関数を通じて認証されていない攻撃者がサーバー上のファイルの内容を読み取ることができるPath Traversalの脆弱性です。
WP Ghost (Hide My WP Ghost)プラグインのバージョン5.4.01以前を使用しているWordPressサイトは、この脆弱性に影響を受ける可能性があります。
WP Ghost (Hide My WP Ghost)プラグインをバージョン5.4.02にアップデートしてください。
この脆弱性は公開されており、攻撃者による悪用が懸念されています。
WP Ghost (Hide My WP Ghost)の公式ウェブサイトまたはWordPressプラグインリポジトリでアドバイザリを確認してください。
依存関係ファイルをアップロードすれば、このCVEや他のCVEがあなたに影響するか即座にわかります。