Plataforma
wordpress
Componente
fw-gallery
Corregido en
8.0.1
Se ha identificado una vulnerabilidad de Acceso Arbitrario a Archivos (Path Traversal) en FW Gallery, un plugin para WordPress. Esta vulnerabilidad permite a un atacante acceder a archivos sensibles en el servidor, comprometiendo la confidencialidad e integridad de los datos. Afecta a las versiones desde 0.0.0 hasta la 8.0.0, y se ha solucionado en la versión 8.0.1.
La vulnerabilidad de Path Traversal en FW Gallery permite a un atacante, con acceso al frontend de la aplicación, manipular la ruta de los archivos para acceder a recursos que normalmente estarían protegidos. Esto podría incluir archivos de configuración, código fuente, o incluso archivos de bases de datos, dependiendo de los permisos del servidor web. Un atacante podría extraer información confidencial, modificar archivos para alterar el comportamiento de la aplicación, o incluso ejecutar código malicioso en el servidor. El impacto potencial es significativo, pudiendo resultar en la divulgación de datos sensibles, la toma de control del sitio web, y la comprometer la integridad del sistema.
Esta vulnerabilidad ha sido publicada el 2025-06-17. No se ha reportado explotación activa en campañas conocidas, pero la naturaleza de Path Traversal la hace fácilmente explotable. La falta de autenticación requerida para explotar la vulnerabilidad aumenta el riesgo. No se ha añadido a KEV a la fecha.
WordPress websites utilizing the FW Gallery plugin, particularly those running older versions (0.0.0 - 8.0.0), are at significant risk. Shared hosting environments where users have limited control over plugin updates are especially vulnerable.
• wordpress / composer / npm:
grep -r "../" /var/www/html/wp-content/plugins/fw-gallery/*• generic web:
curl -I http://your-wordpress-site.com/wp-content/plugins/fw-gallery/../../../../etc/passwddisclosure
Estado del Exploit
EPSS
0.10% (26% percentil)
CISA SSVC
Vector CVSS
La mitigación principal para esta vulnerabilidad es actualizar FW Gallery a la versión 8.0.1 o superior, que incluye la corrección. Si la actualización no es inmediatamente posible, se recomienda implementar medidas de seguridad adicionales, como restringir el acceso al directorio de instalación del plugin a través de un servidor web o firewall. Además, revise los permisos de los archivos y directorios del servidor web para asegurar que solo los usuarios autorizados tengan acceso a ellos. Después de la actualización, verifique que la ruta de acceso a los archivos críticos esté correctamente protegida y que no se puedan acceder a través de manipulaciones de la URL.
Actualice el plugin FW Gallery a la última versión disponible para solucionar la vulnerabilidad de recorrido de directorio. Verifique las actualizaciones disponibles en el panel de administración de WordPress o a través del repositorio de plugins de WordPress. Asegúrese de realizar una copia de seguridad completa del sitio antes de actualizar cualquier plugin.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2025-49415 is a HIGH severity vulnerability in FW Gallery for WordPress that allows attackers to read arbitrary files on the server.
You are affected if you are using FW Gallery versions 0.0.0 through 8.0.0. Upgrade to 8.0.1 to mitigate the risk.
Upgrade the FW Gallery plugin to version 8.0.1 or later. Consider WAF rules as a temporary workaround if upgrading is not immediately possible.
There are currently no known active exploits, but it's crucial to patch promptly to prevent potential future exploitation.
Refer to the official Fastw3b LLC website or WordPress plugin repository for the latest advisory and update information.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.