CVE-2025-26909
KrytyczneStreszczenie
W podatności CVE-2025-26909 występuje niewłaściwa kontrola nazwy pliku w instrukcji Include/Require w programie PHP, co prowadzi do lokalnego włączenia pliku PHP. Problem dotyczy wtyczki Hide My WP Ghost w wersjach od n/a do 5.4.01.
Ocena ryzyka
Wykorzystanie tej podatności może pozwolić atakującemu na dostęp do wrażliwych plików na serwerze, co może prowadzić do ujawnienia danych lub przejęcia kontroli nad aplikacją. Organizacje powinny być świadome ryzyka związanego z nieautoryzowanym dostępem do systemów.
Rekomendacja
Zaleca się aktualizację wtyczki Hide My WP Ghost do najnowszej wersji, aby usunąć tę podatność. Dodatkowo, warto przeprowadzić audyt bezpieczeństwa aplikacji w celu zidentyfikowania i naprawienia innych potencjalnych luk.
Oryginalny opis (angielski, źródło NVD)
Improper Control of Filename for Include/Require Statement in PHP Program ('PHP Remote File Inclusion') vulnerability in John Darrel Hide My WP Ghost hide-my-wp allows PHP Local File Inclusion.This issue affects Hide My WP Ghost: from n/a through <= 5.4.01.

