Plataforma
wordpress
Componente
assistant-for-nextgen-gallery
Corregido en
1.0.10
La vulnerabilidad CVE-2025-7641 afecta al plugin Assistant for NextGEN Gallery para WordPress. Esta vulnerabilidad permite la eliminación arbitraria de archivos en el servidor debido a una validación insuficiente de la ruta del archivo en el endpoint REST /wp-json/nextgenassistant/v1.0.0/control. La explotación exitosa puede resultar en la pérdida total de disponibilidad del sitio web. Afecta a las versiones 1.0.0 hasta la 1.0.9, y se recomienda actualizar a la versión corregida lo antes posible.
Un atacante no autenticado puede explotar esta vulnerabilidad para eliminar directorios arbitrarios en el servidor donde está instalado WordPress. Esto se logra manipulando la ruta del archivo en la solicitud al endpoint REST. La eliminación de directorios críticos del sistema de archivos, como el directorio de instalación de WordPress o el directorio de bases de datos, puede provocar una denegación de servicio completa, impidiendo que el sitio web funcione. La falta de autenticación necesaria para explotar la vulnerabilidad aumenta significativamente el riesgo, ya que cualquier persona con acceso a la red puede intentar la explotación. La pérdida de datos y la interrupción del servicio son las principales consecuencias de esta vulnerabilidad.
La vulnerabilidad CVE-2025-7641 fue publicada el 15 de agosto de 2025. No se ha añadido a la lista KEV de CISA ni se conoce un puntaje EPSS. Actualmente no se han reportado pruebas de concepto (PoC) públicas, pero la naturaleza de la vulnerabilidad (eliminación arbitraria de archivos) la convierte en un objetivo atractivo para los atacantes. Se recomienda a los administradores de WordPress que apliquen las mitigaciones lo antes posible para reducir el riesgo de explotación.
Websites utilizing the Assistant for NextGEN Gallery plugin, particularly those running older, unpatched versions (1.0.0–1.0.9), are at significant risk. Shared hosting environments where users have limited control over plugin updates are especially vulnerable. Sites with weak WordPress security configurations or inadequate firewall protection are also at increased risk.
• wordpress / composer / npm:
grep -r 'nextgenassistant/v1.0.0/control' /var/www/html/wp-content/plugins/• generic web:
curl -I https://your-wordpress-site.com/wp-json/nextgenassistant/v1.0.0/controlCheck the response headers for any unusual or unexpected behavior. • wordpress / composer / npm:
wp plugin list | grep nextgenassistantVerify the installed version is patched. • wordpress / composer / npm:
wp plugin auto-update nextgenassistantAttempt to automatically update the plugin to the latest version.
disclosure
Estado del Exploit
EPSS
0.14% (33% percentil)
CISA SSVC
Vector CVSS
La mitigación principal es actualizar el plugin Assistant for NextGEN Gallery a la última versión disponible, que corrige esta vulnerabilidad. Si la actualización no es inmediatamente posible, se recomienda implementar medidas de seguridad adicionales. Restringir el acceso al endpoint /wp-json/nextgenassistant/v1.0.0/control mediante un firewall de aplicaciones web (WAF) puede ayudar a prevenir la explotación. Además, se recomienda revisar los permisos del directorio de instalación de WordPress para asegurar que solo el usuario web tenga acceso de escritura. Monitorear los registros del servidor en busca de solicitudes sospechosas al endpoint REST también puede ayudar a detectar intentos de explotación.
Actualice el plugin Assistant for NextGEN Gallery a la última versión disponible para mitigar la vulnerabilidad de eliminación arbitraria de directorios. Verifique la página de plugins de WordPress para obtener la actualización más reciente. Considere implementar medidas de seguridad adicionales, como limitar los permisos de los usuarios y monitorear la actividad del servidor.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2025-7641 is a high-severity vulnerability in the Assistant for NextGEN Gallery WordPress plugin that allows unauthenticated attackers to delete arbitrary directories on the server due to insufficient file path validation.
You are affected if you are using Assistant for NextGEN Gallery versions 1.0.0 through 1.0.9. Check your plugin version and upgrade immediately if vulnerable.
Upgrade the Assistant for NextGEN Gallery plugin to a patched version as soon as it becomes available. Implement temporary workarounds like restricting access to the vulnerable REST endpoint until the patch is applied.
As of 2025-08-15, there are no known public exploits or active campaigns targeting CVE-2025-7641, but it's crucial to apply the fix promptly.
Check the official Assistant for NextGEN Gallery website and WordPress plugin repository for updates and security advisories related to CVE-2025-7641.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.