Falha em plugin de segurança do WordPress expõe mais de 200 mil sites

A vulnerabilidade CVE-2025-26909, descoberta no plugin WP Ghost, permite que invasores não autenticados executem código remotamente e assumam o controle total das páginas afetadas a partir da inclusão de arquivos arbitrários por meio de URLs manipuladas. Todas as versões até a 5.4.01 estão vulneráveis.

O WP Ghost é um complemento de segurança projetado para bloquear ataques cibernéticos, incluindo tentativas de força bruta, SQL injection, instalação de malwares e cross-site scripting (XSS).

O problema ocorre quando o recurso “Change Paths” está ativado nos modos Lite ou Ghost, embora pesquisadores alertem que a inclusão local de arquivos pode afetar diversas configurações do plugin. Isso pode resultar no vazamento de informações, acesso ao código-fonte e ataques DoS.

A falha foi corrigida a partir da versão 5.4.02.