Plateforme
wordpress
Composant
assistant-for-nextgen-gallery
Corrigé dans
1.0.10
La vulnérabilité CVE-2025-7641 affecte le plugin Assistant for NextGEN Gallery pour WordPress. Elle permet à un attaquant non authentifié de supprimer des répertoires arbitraires sur le serveur, compromettant ainsi la disponibilité du site. Cette faille est présente dans les versions 1.0.0 à 1.0.9. Une correction est disponible et son application est fortement recommandée.
Cette vulnérabilité est particulièrement critique car elle permet une suppression de répertoires arbitraire. Un attaquant peut exploiter cette faille pour supprimer des fichiers essentiels du système, des bases de données, ou même l'ensemble du site web. La perte de disponibilité est la conséquence immédiate, mais la suppression de données peut entraîner des pertes significatives et des coûts de récupération élevés. L'absence d'authentification requise pour l'exploitation rend cette vulnérabilité accessible à un large éventail d'attaquants, augmentant le risque d'exploitation.
La vulnérabilité CVE-2025-7641 a été publiée le 15 août 2025. Il n'y a pas d'indications d'exploitation active à ce jour, ni de PoC publics largement diffusés. La probabilité d'exploitation est considérée comme moyenne en raison de la simplicité de l'exploitation et de l'absence de restrictions d'authentification. Surveillez les forums de sécurité et les bases de données de vulnérabilités pour d'éventuelles mises à jour.
Websites utilizing the Assistant for NextGEN Gallery plugin, particularly those running older, unpatched versions (1.0.0–1.0.9), are at significant risk. Shared hosting environments where users have limited control over plugin updates are especially vulnerable. Sites with weak WordPress security configurations or inadequate firewall protection are also at increased risk.
• wordpress / composer / npm:
grep -r 'nextgenassistant/v1.0.0/control' /var/www/html/wp-content/plugins/• generic web:
curl -I https://your-wordpress-site.com/wp-json/nextgenassistant/v1.0.0/controlCheck the response headers for any unusual or unexpected behavior. • wordpress / composer / npm:
wp plugin list | grep nextgenassistantVerify the installed version is patched. • wordpress / composer / npm:
wp plugin auto-update nextgenassistantAttempt to automatically update the plugin to the latest version.
disclosure
Statut de l'Exploit
EPSS
0.14% (percentile 33%)
CISA SSVC
Vecteur CVSS
La mitigation principale consiste à mettre à jour le plugin Assistant for NextGEN Gallery vers la dernière version corrigée dès que possible. En attendant la mise à jour, des mesures d'atténuation peuvent être appliquées. Il est recommandé de restreindre l'accès au répertoire /wp-json/nextgenassistant/v1.0.0/control via un pare-feu ou un plugin de sécurité WordPress. Vérifiez également les permissions des fichiers et répertoires pour vous assurer qu'ils sont correctement configurés. Après la mise à jour, vérifiez l'intégrité du site en accédant aux pages critiques et en vous assurant qu'aucune suppression de fichiers n'a eu lieu.
Actualice el plugin Assistant for NextGEN Gallery a la última versión disponible para mitigar la vulnerabilidad de eliminación arbitraria de directorios. Verifique la página de plugins de WordPress para obtener la actualización más reciente. Considere implementar medidas de seguridad adicionales, como limitar los permisos de los usuarios y monitorear la actividad del servidor.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
CVE-2025-7641 is a high-severity vulnerability in the Assistant for NextGEN Gallery WordPress plugin that allows unauthenticated attackers to delete arbitrary directories on the server due to insufficient file path validation.
You are affected if you are using Assistant for NextGEN Gallery versions 1.0.0 through 1.0.9. Check your plugin version and upgrade immediately if vulnerable.
Upgrade the Assistant for NextGEN Gallery plugin to a patched version as soon as it becomes available. Implement temporary workarounds like restricting access to the vulnerable REST endpoint until the patch is applied.
As of 2025-08-15, there are no known public exploits or active campaigns targeting CVE-2025-7641, but it's crucial to apply the fix promptly.
Check the official Assistant for NextGEN Gallery website and WordPress plugin repository for updates and security advisories related to CVE-2025-7641.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.