Le plugin de sécurité WordPress populaire WP Ghost est vulnérable à une faille de gravité critique qui pourrait permettre à des attaquants non authentifiés d’exécuter du code à distance et de détourner des serveurs.
WP Ghost est un module complémentaire de sécurité populaire utilisé dans plus de 200 000 sites WordPress qui prétend arrêter 140 000 attaques de pirates et plus de 9 millions de tentatives de forçage brutales chaque mois.
Il offre également une protection contre l’injection SQL, l’injection de script, l’exploitation des vulnérabilités, la suppression de logiciels malveillants, les exploits d’inclusion de fichiers, les attaques de traversée de répertoires et les scripts intersites.
Cependant, comme l’a révélé Patchstack, l’outil de sécurité lui-même est vulnérable à une vulnérabilité critique (score CVSS: 9,6) d’exécution de code à distance (RCE) qui pourrait conduire à une prise de contrôle complète du site Web.
La faille, suivie comme CVE-2025-26909, affecte toutes les versions de WP Ghost jusqu’à 5.4.01 et provient d’une validation insuffisante des entrées dans la fonction ‘showFile ()’. L’exploitation de la faille pourrait permettre aux attaquants d’inclure des fichiers arbitraires via des chemins d’URL manipulés.
La faille n’est déclenchée que si la fonction « Modifier les chemins » de WP Ghost est définie sur le mode Lite ou Ghost. Bien que ces modes ne soient pas activés par défaut, Patchstack note que la partie Inclusion de fichiers locaux (LFI) s’applique à presque toutes les configurations.
« La vulnérabilité s’est produite en raison d’une valeur d’entrée utilisateur insuffisante via le chemin d’URL qui sera inclus en tant que fichier », lit le rapport de Patchstack.
« En raison du comportement du cas LFI, cette vulnérabilité pourrait conduire à l’exécution de code à distance sur la quasi-totalité de la configuration de l’environnement. »
Par conséquent, la vulnérabilité autorise LFI universellement, mais son escalade vers RCE dépend de la configuration spécifique du serveur.
LFI sans RCE peut toujours être dangereux à travers des scénarios tels que la divulgation d’informations, le détournement de session, l’empoisonnement des journaux, l’accès au code source et les attaques par déni de service (DoS).
Suite à la découverte de la faille par le chercheur Dimas Maulana le 25 février 2025, Patchstack l’a analysée en interne et a finalement informé le fournisseur le 3 mars.
Le lendemain, les développeurs de WP Ghost ont incorporé un correctif sous la forme d’une validation supplémentaire sur l’URL ou le chemin fourni par les utilisateurs.
Le correctif a été incorporé sur WP Ghost version 5.4.02, tandis que la version 5.4.03 a également été mise à disposition entre-temps.