Plateforme
wordpress
Composant
wpgym
Corrigé dans
67.7.1
La vulnérabilité CVE-2025-3671 est une faille d'élévation de privilèges affectant le plugin WPGYM - Wordpress Gym Management System pour WordPress. Cette faille permet à un attaquant authentifié, disposant d'un accès de niveau Abonné ou supérieur, d'inclure et d'exécuter des fichiers arbitraires sur le serveur. Les versions concernées sont celles allant de 0.0.0 à 67.7.0 inclus. Une version corrigée est disponible et sa mise à jour est fortement recommandée.
Cette vulnérabilité d'élévation de privilèges permet à un attaquant authentifié de contourner les contrôles d'accès, d'obtenir des données sensibles et potentiellement d'exécuter du code arbitraire sur le serveur WordPress. L'attaquant peut exploiter cette faille en incluant des fichiers PHP malveillants, par exemple en utilisant des images ou d'autres types de fichiers « sûrs » qui peuvent être téléchargés et inclus. L'exécution de code arbitraire peut permettre à l'attaquant de prendre le contrôle du serveur WordPress et de compromettre les données des utilisateurs. Cette vulnérabilité présente un risque élevé en raison de la facilité d'exploitation et de l'impact potentiel sur la confidentialité et l'intégrité des données.
La vulnérabilité CVE-2025-3671 est une faille d'élévation de privilèges qui pourrait être exploitée par des attaquants ayant un accès limité au site WordPress. Il n'y a pas d'indications d'une exploitation active à ce jour, mais la vulnérabilité est publique et un proof-of-concept pourrait être développé. La publication de la CVE a eu lieu le 2025-08-16. Il est conseillé de surveiller les forums de sécurité et les bases de données de vulnérabilités pour toute nouvelle information.
WordPress websites utilizing the WPGYM plugin, particularly those with Subscriber-level users or higher, are at risk. Shared hosting environments where multiple WordPress installations share the same server resources are also at increased risk, as a compromise of one site could potentially lead to the compromise of others. Legacy configurations with outdated WordPress versions or plugins may be more vulnerable.
• wordpress / composer / npm:
grep -r "page=../../../../" /var/www/html/wp-content/plugins/wpgym/• wordpress / composer / npm:
wp plugin list --status=inactive | grep wpgym• wordpress / composer / npm:
wp plugin update wpgym --all• generic web: Check WordPress error logs for attempts to access files outside the intended directory structure, specifically related to the 'page' parameter.
disclosure
Statut de l'Exploit
EPSS
0.18% (percentile 39%)
CISA SSVC
Vecteur CVSS
La mitigation principale consiste à mettre à jour le plugin WPGYM vers la dernière version disponible, qui corrige cette vulnérabilité. Si la mise à jour n'est pas immédiatement possible, il est recommandé de restreindre l'accès au plugin et de surveiller les fichiers journaux à la recherche d'activités suspectes. Il est également possible de configurer un pare-feu d'application web (WAF) pour bloquer les requêtes malveillantes ciblant le paramètre 'page'. En cas de doute, désactiver temporairement le plugin jusqu'à la mise à jour. Après la mise à jour, vérifiez l'intégrité des fichiers du plugin et assurez-vous qu'il n'y a pas de fichiers suspects.
Actualice el plugin WPGYM a la última versión disponible para mitigar la vulnerabilidad de inclusión de archivos locales. Verifique las fuentes oficiales del plugin (Wordfence, CodeCanyon) para obtener la versión actualizada y las instrucciones de instalación. Considere implementar medidas de seguridad adicionales, como restringir el acceso a archivos sensibles y validar las entradas del usuario.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
CVE-2025-3671 is a vulnerability allowing authenticated attackers to execute arbitrary files on a WordPress server using the WPGYM plugin, potentially leading to code execution.
If you are using the WPGYM WordPress Gym Management System plugin in versions 0.0.0–67.7.0, you are potentially affected by this vulnerability.
Upgrade the WPGYM plugin to a patched version as soon as it becomes available. Until then, consider temporary workarounds like restricting file uploads.
While no public exploits are currently known, the vulnerability's nature suggests a moderate probability of exploitation. Monitor security advisories for updates.
Refer to the WPGYM plugin developer's website or WordPress plugin repository for the official advisory and patch release.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.