Plataforma
wordpress
Componente
hide-my-wp
Corrigido em
5.4.02
Uma vulnerabilidade de Path Traversal foi descoberta no plugin WP Ghost (Hide My WP Ghost) – Security & Firewall para WordPress. Esta falha permite que atacantes não autenticados leiam arquivos específicos no servidor, potencialmente expondo informações confidenciais. A vulnerabilidade afeta versões do plugin de 0.0.0 até 5.4.01 e foi corrigida na versão 5.4.02.
A exploração bem-sucedida desta vulnerabilidade permite a um atacante não autenticado ler arquivos arbitrários no servidor web. Isso pode incluir arquivos de configuração, arquivos de log, ou até mesmo código-fonte do aplicativo WordPress. A exposição desses arquivos pode levar à divulgação de credenciais, chaves de API, informações de usuários, ou outros dados sensíveis. Em cenários mais graves, um atacante pode usar essa vulnerabilidade para obter acesso ao sistema de arquivos subjacente e comprometer o servidor inteiro. A ausência de autenticação necessária para explorar a vulnerabilidade aumenta significativamente o seu impacto, tornando-a um alvo atraente para atacantes.
Esta vulnerabilidade foi divulgada publicamente em 14 de março de 2025. Não há informações disponíveis sobre exploração ativa ou inclusão no KEV (CISA Known Exploited Vulnerabilities) no momento da redação. A existência de uma vulnerabilidade de Path Traversal em um plugin popular do WordPress a torna um alvo potencial para exploração em massa.
WordPress websites using the WP Ghost (Hide My WP Ghost) – Security & Firewall plugin, particularly those running versions 0.0.0 through 5.4.01, are at risk. Shared hosting environments where multiple WordPress installations share the same server resources are especially vulnerable, as a compromise of one site could potentially expose files on other sites.
• wordpress / composer / npm:
grep -r "showFile function" /var/www/html/wp-content/plugins/wp-ghost/• generic web:
curl -I 'https://your-wordpress-site.com/wp-content/plugins/wp-ghost/showFile?file=../../../../etc/passwd' # Attempt to access sensitive filedisclosure
Status do Exploit
EPSS
1.29% (percentil 80%)
CISA SSVC
Vetor CVSS
A mitigação primária para esta vulnerabilidade é atualizar o plugin WP Ghost (Hide My WP Ghost) para a versão 5.4.02 ou superior, que inclui a correção. Se a atualização imediata não for possível, considere restringir o acesso ao arquivo showFile através de regras de firewall (WAF) ou configurações do servidor web. Implemente restrições de acesso ao diretório onde o plugin está instalado para evitar a leitura de arquivos não autorizados. Monitore logs do servidor web em busca de tentativas de acesso a arquivos suspeitos.
Actualice el plugin WP Ghost (Hide My WP Ghost) – Security & Firewall a la versión 5.4.02 o superior para mitigar la vulnerabilidad de Path Traversal. Esta actualización corrige el problema permitiendo que el acceso a archivos esté restringido y evitando la lectura no autorizada de archivos sensibles.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
CVE-2025-2056 is a Path Traversal vulnerability affecting the WP Ghost plugin for WordPress, allowing attackers to read sensitive files on the server.
You are affected if you are using WP Ghost plugin versions 0.0.0 through 5.4.01. Upgrade to 5.4.02 or later to resolve the issue.
Upgrade the WP Ghost plugin to version 5.4.02 or later. Consider temporary workarounds like restricting file access permissions if immediate upgrade is not possible.
As of the public disclosure date, there are no confirmed reports of active exploitation, but the vulnerability is publicly known.
Refer to the official WP Ghost plugin website or WordPress plugin repository for the latest advisory and update information.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.