Plateforme
wordpress
Composant
grand-media
Corrigé dans
1.25.1
Une vulnérabilité de Cross-Site Request Forgery (CSRF) a été découverte dans Gmedia Photo Gallery, un plugin WordPress. Cette faille permet à un attaquant d'effectuer des actions non autorisées au nom d'un utilisateur authentifié, potentiellement compromettant l'intégrité des données et la sécurité du site. Les versions affectées sont celles comprises entre 0.0.0 et 1.25.0 incluses. Une mise à jour vers une version corrigée est recommandée.
La vulnérabilité CSRF permet à un attaquant d'exploiter un utilisateur authentifié pour modifier des paramètres de configuration, supprimer des images, ou effectuer d'autres actions sensibles au sein de la galerie photo. L'attaquant peut créer une requête malveillante, par exemple un lien ou un formulaire, que l'utilisateur authentifié exécutera involontairement. Le risque est d'autant plus élevé si l'utilisateur dispose de privilèges d'administrateur. Une exploitation réussie peut entraîner une perte de contrôle sur la galerie photo et potentiellement sur l'ensemble du site WordPress.
La vulnérabilité CSRF est souvent exploitée via des attaques de phishing ou par l'injection de liens malveillants dans des forums ou des réseaux sociaux. Il n'y a pas d'indication d'une exploitation active à grande échelle à ce jour. La publication de la CVE le 2025-12-31 suggère une découverte récente. La probabilité d'exploitation est considérée comme modérée en raison de la nature courante des attaques CSRF et de la nécessité d'une interaction de l'utilisateur.
WordPress websites utilizing the Gmedia Photo Gallery plugin, particularly those running versions 0.0.0 through 1.25.0, are at risk. Shared hosting environments where plugin updates are managed centrally are also at increased risk due to potential delays in patching.
• wordpress / composer / npm:
grep -r 'gmedia_photo_gallery_settings' wp-content/plugins/gmedia-photo-gallery/• generic web:
curl -I https://example.com/wp-content/plugins/gmedia-photo-gallery/ | grep -i 'csrf-token'disclosure
Statut de l'Exploit
EPSS
0.02% (percentile 5%)
CISA SSVC
Vecteur CVSS
La mitigation immédiate consiste à mettre à jour Gmedia Photo Gallery vers la dernière version disponible, qui corrige cette vulnérabilité. Si la mise à jour n'est pas possible immédiatement, l'ajout de tokens CSRF aux formulaires et aux requêtes critiques peut atténuer le risque. L'utilisation d'un Web Application Firewall (WAF) configuré pour bloquer les requêtes CSRF est également une solution. Vérifiez après la mise à jour que les formulaires critiques nécessitent une authentification supplémentaire et qu'ils incluent des tokens CSRF valides.
Aucun correctif connu n'est disponible. Veuillez examiner en profondeur les détails de la vulnérabilité et mettre en œuvre des mesures d'atténuation en fonction de la tolérance au risque de votre organisation. Il peut être préférable de désinstaller le logiciel affecté et de trouver un remplacement.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
CVE-2025-63014 décrit une vulnérabilité de Cross-Site Request Forgery (CSRF) dans le plugin Gmedia Photo Gallery pour WordPress, permettant à un attaquant d'effectuer des actions non autorisées.
Oui, si vous utilisez Gmedia Photo Gallery dans sa version 0.0.0 à 1.25.0, vous êtes affecté par cette vulnérabilité.
La solution recommandée est de mettre à jour Gmedia Photo Gallery vers la dernière version disponible. En attendant, appliquez des mesures de mitigation comme l'ajout de tokens CSRF.
Il n'y a pas d'indication d'une exploitation active à grande échelle à ce jour, mais la probabilité d'exploitation reste modérée.
Consultez le site web de Gmedia Photo Gallery ou le dépôt WordPress pour obtenir l'avis officiel et les instructions de mise à jour.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.