Platform
wordpress
Component
fw-gallery
Opgelost in
8.0.1
CVE-2025-49415 beschrijft een 'Path Traversal' kwetsbaarheid in de FW Gallery WordPress plugin. Deze kwetsbaarheid stelt aanvallers in staat om via manipulatie van paden toegang te krijgen tot bestanden buiten de toegestane directory. De kwetsbaarheid treft versies van FW Gallery van 0.0.0 tot en met 8.0.0. Een fix is beschikbaar in versie 8.0.1.
Een succesvolle exploitatie van deze kwetsbaarheid kan leiden tot ongeautoriseerde toegang tot gevoelige bestanden op de webserver. Dit omvat potentieel configuratiebestanden, broncode, of andere bestanden die vertrouwelijke informatie bevatten. Afhankelijk van de bestanden die toegankelijk zijn, kan dit leiden tot verdere compromittering van het systeem, zoals het uitvoeren van willekeurige code of het verkrijgen van controle over de server. De impact is vergelijkbaar met andere path traversal kwetsbaarheden waarbij de toegang tot bestanden buiten de toegestane directory mogelijk wordt gemaakt.
Deze kwetsbaarheid is publiekelijk bekend sinds 2025-06-17. Er is momenteel geen informatie beschikbaar over actieve exploits of campagnes die deze specifieke kwetsbaarheid uitbuiten. Het is echter aannemelijk dat deze kwetsbaarheid in de toekomst kan worden misbruikt, aangezien path traversal kwetsbaarheden vaak een aantrekkelijk doelwit zijn voor aanvallers.
WordPress websites utilizing the FW Gallery plugin, particularly those running older versions (0.0.0 - 8.0.0), are at significant risk. Shared hosting environments where users have limited control over plugin updates are especially vulnerable.
• wordpress / composer / npm:
grep -r "../" /var/www/html/wp-content/plugins/fw-gallery/*• generic web:
curl -I http://your-wordpress-site.com/wp-content/plugins/fw-gallery/../../../../etc/passwddisclosure
Exploit Status
EPSS
0.10% (26% percentiel)
CISA SSVC
CVSS-vector
De primaire mitigatie is het upgraden van de FW Gallery plugin naar versie 8.0.1 of hoger. Indien een directe upgrade niet mogelijk is, kan een tijdelijke workaround bestaan uit het beperken van de toegangsrechten tot de webserver directory's. Dit kan worden bereikt door de permissies van de bestanden en mappen te beperken, zodat alleen de webserver-gebruiker er toegang toe heeft. Daarnaast kan het implementeren van een Web Application Firewall (WAF) helpen om verdachte padmanipulatie-pogingen te detecteren en te blokkeren. Controleer de WordPress plugin directory op updates en test de upgrade in een testomgeving voordat deze in productie wordt doorgevoerd.
Actualice el plugin FW Gallery a la última versión disponible para solucionar la vulnerabilidad de recorrido de directorio. Verifique las actualizaciones disponibles en el panel de administración de WordPress o a través del repositorio de plugins de WordPress. Asegúrese de realizar una copia de seguridad completa del sitio antes de actualizar cualquier plugin.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
CVE-2025-49415 is a HIGH severity vulnerability in FW Gallery for WordPress that allows attackers to read arbitrary files on the server.
You are affected if you are using FW Gallery versions 0.0.0 through 8.0.0. Upgrade to 8.0.1 to mitigate the risk.
Upgrade the FW Gallery plugin to version 8.0.1 or later. Consider WAF rules as a temporary workaround if upgrading is not immediately possible.
There are currently no known active exploits, but it's crucial to patch promptly to prevent potential future exploitation.
Refer to the official Fastw3b LLC website or WordPress plugin repository for the latest advisory and update information.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.