Nieuws
image

Lek in populaire WP Ghost-plugin maakt WordPress-sites kwetsbaar

vrijdag 21 maart 2025, 11:41 door Redactie, 7 reacties

De WP Ghost-plugin voor WordPress bevat een kwetsbaarheid die het mogelijk maakt op afstand code uit te voeren op systemen die WordPress draaien. De kwetsbaarheid is inmiddels verholpen via een update. Hiervoor waarschuwt Patchstack, dat in een blogpost details over het lek deelt.

Het gaat om CVE-2025-26909, wat een Local File Inclusion (LFI)-kwetsbaarheid is en wordt ingeschaald als kritiek. LFI is een type beveiligingskwetsbaarheid in webapplicaties die ontstaat indien applicaties invoer van gebruikers accepteren zonder deze correct te valideren of op te schonen. In de praktijk maakt dit het mogelijk bestanden op de server te lezen die normaal niet toegankelijk zouden zijn, of op afstand code uit te voeren op systemen.

WP Ghost is een populaire plugin voor WordPress, met meer dan 200.000 actieve installaties. Het securityprobleem treft dan ook een groot aantal WordPress-sites. Het lek is gedicht in versie 5.4.02 van de plugin. Gebruikers krijgen het advies zo snel mogelijk naar deze versie te updaten.

Reacties (7)
21-03-2025, 13:01 door Anoniem
Hoe wordt het ge-uploade bestand dan uitvoerbaar gemaakt? want het is bij binnenkomst readonly toch.
21-03-2025, 17:11 door DeZin
Het is toch eigenlijk bizar hoeveel organisaties en mensen nog vrijwillig een RAT als WordPress draaien en publiekelijk beschikbaar maken.
22-03-2025, 09:25 door Anoniem
Door DeZin: Het is toch eigenlijk bizar hoeveel organisaties en mensen nog vrijwillig een RAT als WordPress draaien en publiekelijk beschikbaar maken.

Het hele internet loopt er op. Maar wat stel jij voor dan? Dat Jantje Doorsnee Apache gaat installeren en in /var/www gaat kloten? Dat gaat nooit gebeuren. Dus rent iedereen gewoon achter de feiten aan. Het is niet anders. En dat gaat ook niet meer veranderen.
22-03-2025, 11:13 door Anoniem
Door Anoniem:
Door DeZin: Het is toch eigenlijk bizar hoeveel organisaties en mensen nog vrijwillig een RAT als WordPress draaien en publiekelijk beschikbaar maken.

Het hele internet loopt er op. Maar wat stel jij voor dan? Dat Jantje Doorsnee Apache gaat installeren en in /var/www gaat kloten? Dat gaat nooit gebeuren. Dus rent iedereen gewoon achter de feiten aan. Het is niet anders. En dat gaat ook niet meer veranderen.
Dan zou het eerder \Program Files\Apache Software Foundation\ worden maar WordPress is niet het enige CMS hoor!!
Bij een provider is het meestal kiezen tussen WordPress, Joomla of Drupal. Voor een grote site zou ik voor Django gaan en een ontwikkelaar inhuren.
22-03-2025, 11:36 door Anoniem
Maar je kan je plug-innetjes wel scannen en updaten en anders afvoeren,
wat niet meer ondersteund of brak is.

Scan hier: https://hackertarget.com/wordpress-security-scan/

Niet vergeten: user enumeration en directory listing uitschakelen na installatie van je WP site.

Maar velen schaffen een website aan voor een hoop geld en doen dan verder geen onderhoud meer.
De (flinke) rekening zal dan vast later onder in de zak zitten.

Want die de beslissingen nemen, hebben er geen verstand van
en die er verstand van plachten te hebben, daar wordt heel vaak geen rekening mee gehouden.

Helaas, pindakaas.
22-03-2025, 12:31 door Anoniem
Door Anoniem: Maar je kan je plug-innetjes wel scannen en updaten en anders afvoeren,
wat niet meer ondersteund of brak is.

Scan hier: https://hackertarget.com/wordpress-security-scan/

Niet vergeten: user enumeration en directory listing uitschakelen na installatie van je WP site.

Maar velen schaffen een website aan voor een hoop geld en doen dan verder geen onderhoud meer.
De (flinke) rekening zal dan vast later onder in de zak zitten.

Want die de beslissingen nemen, hebben er geen verstand van
en die er verstand van plachten te hebben, daar wordt heel vaak geen rekening mee gehouden.

Helaas, pindakaas.
Zo is het precies. Ik ben nu gelukkig met pensioen maar helaas ontelbare keren meegemaakt. Ze pikken het gewoon niet dat iemand laag in de pikorde het beter weet.
25-03-2025, 10:58 door Anoniem
Voor een grote site zou ik voor Django gaan en een ontwikkelaar inhuren.

Ja, maar een groot deel van de WP websites is voor de kleinere bedrijven, en die willen graag voor 'weinagh' een plek op het web hebben.

Dus bij een 'snel klaar en goedkoop' bureautje, die dan een website in elkaar trappen met een theme, en dan lekker alles zijn beloop laten. Wat jij voorstelt is voor veel bedrijven financieel een stap te ver. Jammer genoeg....
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Zoeken
search
Certified Secure Full Stack Training 2026 Salt Road: Compromised Components