CVE Catalog
EnglishPolski(English translation not available - showing Polish)

CVE-2025-26909

Critical
Published: Translated: NVD NIST

Summary

W podatności CVE-2025-26909 występuje niewłaściwa kontrola nazwy pliku w instrukcji Include/Require w programie PHP, co prowadzi do lokalnego włączenia pliku PHP. Problem dotyczy wtyczki Hide My WP Ghost w wersjach od n/a do 5.4.01.

Risk Assessment

Wykorzystanie tej podatności może pozwolić atakującemu na dostęp do wrażliwych plików na serwerze, co może prowadzić do ujawnienia danych lub przejęcia kontroli nad aplikacją. Organizacje powinny być świadome ryzyka związanego z nieautoryzowanym dostępem do systemów.

Recommendation

Zaleca się aktualizację wtyczki Hide My WP Ghost do najnowszej wersji, aby usunąć tę podatność. Dodatkowo, warto przeprowadzić audyt bezpieczeństwa aplikacji w celu zidentyfikowania i naprawienia innych potencjalnych luk.

Original NVD description (English source)

Improper Control of Filename for Include/Require Statement in PHP Program ('PHP Remote File Inclusion') vulnerability in John Darrel Hide My WP Ghost hide-my-wp allows PHP Local File Inclusion.This issue affects Hide My WP Ghost: from n/a through <= 5.4.01.

Vulnerability data from NVD (NIST) · CISA KEV · EPSS