Plateforme
wordpress
Composant
fw-gallery
Corrigé dans
8.0.1
Une vulnérabilité de traversal de chemin (Path Traversal) a été découverte dans FW Gallery, un plugin WordPress. Cette faille permet à un attaquant d'accéder à des fichiers sensibles sur le serveur, potentiellement compromettant des informations confidentielles. Elle affecte les versions de FW Gallery comprises entre 0.0.0 et 8.0.0. Une correction est disponible dans la version 8.0.1.
L'exploitation réussie de cette vulnérabilité permet à un attaquant d'accéder à des fichiers arbitraires sur le serveur web hébergeant FW Gallery. Cela peut inclure des fichiers de configuration, des données sensibles des utilisateurs, ou même des fichiers exécutables. Un attaquant pourrait potentiellement télécharger des fichiers malveillants, modifier le contenu du site web, ou compromettre l'ensemble du serveur. Le risque est exacerbé si le serveur est mal configuré ou si des informations d'identification par défaut sont utilisées. Cette vulnérabilité est similaire à d'autres failles de traversal de chemin qui ont permis l'accès non autorisé à des données critiques dans le passé.
Cette vulnérabilité a été publiée le 17 juin 2025. Il n'y a pas d'indication d'une exploitation active à ce jour, ni de mention sur le KEV de CISA. Aucune preuve publique de PoC n'est disponible pour le moment, mais la nature de la vulnérabilité la rend potentiellement exploitable par des acteurs malveillants.
WordPress websites utilizing the FW Gallery plugin, particularly those running older versions (0.0.0 - 8.0.0), are at significant risk. Shared hosting environments where users have limited control over plugin updates are especially vulnerable.
• wordpress / composer / npm:
grep -r "../" /var/www/html/wp-content/plugins/fw-gallery/*• generic web:
curl -I http://your-wordpress-site.com/wp-content/plugins/fw-gallery/../../../../etc/passwddisclosure
Statut de l'Exploit
EPSS
0.10% (percentile 26%)
CISA SSVC
Vecteur CVSS
La mitigation la plus efficace consiste à mettre à jour FW Gallery vers la version 8.0.1 ou supérieure, qui corrige cette vulnérabilité. Si la mise à jour n'est pas immédiatement possible, envisagez de restreindre l'accès au répertoire du plugin via les paramètres du serveur web. Vous pouvez également configurer un pare-feu d'application web (WAF) pour bloquer les requêtes contenant des séquences de traversal de chemin, telles que '..'. Surveillez les journaux d'accès du serveur web pour détecter des tentatives d'accès à des fichiers non autorisés. Après la mise à jour, vérifiez l'intégrité des fichiers du plugin pour confirmer que la correction a été appliquée correctement.
Actualice el plugin FW Gallery a la última versión disponible para solucionar la vulnerabilidad de recorrido de directorio. Verifique las actualizaciones disponibles en el panel de administración de WordPress o a través del repositorio de plugins de WordPress. Asegúrese de realizar una copia de seguridad completa del sitio antes de actualizar cualquier plugin.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
CVE-2025-49415 is a HIGH severity vulnerability in FW Gallery for WordPress that allows attackers to read arbitrary files on the server.
You are affected if you are using FW Gallery versions 0.0.0 through 8.0.0. Upgrade to 8.0.1 to mitigate the risk.
Upgrade the FW Gallery plugin to version 8.0.1 or later. Consider WAF rules as a temporary workaround if upgrading is not immediately possible.
There are currently no known active exploits, but it's crucial to patch promptly to prevent potential future exploitation.
Refer to the official Fastw3b LLC website or WordPress plugin repository for the latest advisory and update information.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.