Platform
wordpress
Component
wpgym
Opgelost in
67.7.1
CVE-2025-3671 beschrijft een Privilege Escalation kwetsbaarheid in het WPGYM - Wordpress Gym Management System plugin voor WordPress. Deze kwetsbaarheid stelt geauthenticeerde aanvallers, met minimaal Subscriber-niveau toegang, in staat om via Local File Inclusion (LFI) willekeurige bestanden op de server te includeren en uit te voeren. De kwetsbaarheid beïnvloedt versies van het plugin tot en met 67.7.0. Een patch is beschikbaar en wordt sterk aanbevolen.
Een succesvolle exploitatie van CVE-2025-3671 kan verstrekkende gevolgen hebben. Een geauthenticeerde aanvaller met Subscriber-niveau toegang kan de kwetsbaarheid gebruiken om willekeurige PHP-code uit te voeren op de server. Dit kan leiden tot het omzeilen van toegangscontroles, het stelen van gevoelige data (zoals gebruikersgegevens, database-credentials, of configuratiebestanden), en het compromitteren van de gehele WordPress-installatie. In scenario's waar afbeeldingen of andere 'veilige' bestandstypen kunnen worden geüpload en geïncludeerd, kan de aanvaller code injecteren en uitvoeren, wat de integriteit en beschikbaarheid van de website in gevaar brengt. De impact is vergelijkbaar met andere LFI-exploits die code-uitvoering mogelijk maken.
Er is momenteel geen publieke exploitatie van CVE-2025-3671 bekend, maar de kwetsbaarheid is ernstig vanwege de mogelijkheid tot code-uitvoering. De kwetsbaarheid is opgenomen in het CISA KEV catalogus (KEV status onbekend op moment van schrijven). Er zijn geen actieve campagnes bekend die deze specifieke kwetsbaarheid uitbuiten, maar de LFI-karakteristiek maakt het een aantrekkelijk doelwit voor aanvallers. De publicatie van de CVE op 2025-08-16 geeft aan dat de kwetsbaarheid recent is ontdekt en openbaar is gemaakt.
WordPress websites utilizing the WPGYM plugin, particularly those with Subscriber-level users or higher, are at risk. Shared hosting environments where multiple WordPress installations share the same server resources are also at increased risk, as a compromise of one site could potentially lead to the compromise of others. Legacy configurations with outdated WordPress versions or plugins may be more vulnerable.
• wordpress / composer / npm:
grep -r "page=../../../../" /var/www/html/wp-content/plugins/wpgym/• wordpress / composer / npm:
wp plugin list --status=inactive | grep wpgym• wordpress / composer / npm:
wp plugin update wpgym --all• generic web: Check WordPress error logs for attempts to access files outside the intended directory structure, specifically related to the 'page' parameter.
disclosure
Exploit Status
EPSS
0.18% (39% percentiel)
CISA SSVC
CVSS-vector
De primaire mitigatie voor CVE-2025-3671 is het upgraden van het WPGYM - Wordpress Gym Management System plugin naar de meest recente versie, waar de kwetsbaarheid is verholpen. Indien een directe upgrade niet mogelijk is, overweeg dan het tijdelijk beperken van de rechten van gebruikers met Subscriber-niveau toegang. Implementeer restricties op de 'page' parameter om te voorkomen dat willekeurige bestanden kunnen worden geïncludeerd. Controleer de WordPress-server logs op verdachte activiteiten die verband houden met Local File Inclusion pogingen. Na de upgrade, controleer de WordPress-installatie op ongewenste wijzigingen of verdachte bestanden om te bevestigen dat de exploitatie is voorkomen.
Actualice el plugin WPGYM a la última versión disponible para mitigar la vulnerabilidad de inclusión de archivos locales. Verifique las fuentes oficiales del plugin (Wordfence, CodeCanyon) para obtener la versión actualizada y las instrucciones de instalación. Considere implementar medidas de seguridad adicionales, como restringir el acceso a archivos sensibles y validar las entradas del usuario.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
CVE-2025-3671 is a vulnerability allowing authenticated attackers to execute arbitrary files on a WordPress server using the WPGYM plugin, potentially leading to code execution.
If you are using the WPGYM WordPress Gym Management System plugin in versions 0.0.0–67.7.0, you are potentially affected by this vulnerability.
Upgrade the WPGYM plugin to a patched version as soon as it becomes available. Until then, consider temporary workarounds like restricting file uploads.
While no public exploits are currently known, the vulnerability's nature suggests a moderate probability of exploitation. Monitor security advisories for updates.
Refer to the WPGYM plugin developer's website or WordPress plugin repository for the official advisory and patch release.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.