Katalog CVE

CVE-2025-26909

Krytyczne
Opublikowano: Przetłumaczono: NVD NIST

Streszczenie

W podatności CVE-2025-26909 występuje niewłaściwa kontrola nazwy pliku w instrukcji Include/Require w programie PHP, co prowadzi do lokalnego włączenia pliku PHP. Problem dotyczy wtyczki Hide My WP Ghost w wersjach od n/a do 5.4.01.

Ocena ryzyka

Wykorzystanie tej podatności może pozwolić atakującemu na dostęp do wrażliwych plików na serwerze, co może prowadzić do ujawnienia danych lub przejęcia kontroli nad aplikacją. Organizacje powinny być świadome ryzyka związanego z nieautoryzowanym dostępem do systemów.

Rekomendacja

Zaleca się aktualizację wtyczki Hide My WP Ghost do najnowszej wersji, aby usunąć tę podatność. Dodatkowo, warto przeprowadzić audyt bezpieczeństwa aplikacji w celu zidentyfikowania i naprawienia innych potencjalnych luk.

Oryginalny opis (angielski, źródło NVD)

Improper Control of Filename for Include/Require Statement in PHP Program ('PHP Remote File Inclusion') vulnerability in John Darrel Hide My WP Ghost hide-my-wp allows PHP Local File Inclusion.This issue affects Hide My WP Ghost: from n/a through <= 5.4.01.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS