WordPressで人気のセキュリティプラグイン「WP Ghost」でRCE脆弱性,20万サイトへ影響(CVE-2025-26909 )

2025年3月20日、Patchstackの研究チームにより、WordPressのセキュリティプラグイン「WP Ghost」に認証不要のローカルファイルインクルージョン（LFI）脆弱性が発見されました。この脆弱性は悪用されると、環境によってはリモートコード実行（RCE）に発展する恐れがあります。

対象となるプラグインのバージョンはv5.4.02以前のすべてで、影響を受けるサイトは全世界で20万件以上と見られています。CVE-2025-26909として管理されており、CVSSv4スコアは9.6と、極めて深刻な脆弱性です。

脆弱性の対象バージョン

v5.4.02未満のすべて

脆弱性の修正バージョン

5.4.02以上

脆弱性 CVE-2025-26909 とは

脆弱性の本質は、外部から送信されたURLに含まれるパスがそのままファイルとしてインクルードされるという処理にあります。

影響を受けるコードは Files.php 内の showFile() 関数で、以下のような条件が揃うと脆弱な挙動が発生します：

• URLパラメータの検証が不十分

• 不正なファイルパスが $new_path に代入され、include される

• LFIの結果、攻撃者がサーバ上の任意ファイルを読み取り・実行できる

特に、php://filter や PHP_SESSION_UPLOAD_PROGRESS などのテクニックと組み合わされることで、実行可能なコードの読み込みが可能となり、RCEへつながります。

WP Ghostとは

WP Ghost (Hide My WP Ghost の略) は、WordPress ウェブサイト向けの包括的なハッキング防止セキュリティ ソリューションです。複数のセキュリティ レイヤーを追加して、ハッカー ボットをブロックし、不正アクセスを防止します。

無料で様々な機能が実装されているので、20万サイト以上に利用されています。