Platform
wordpress
Component
grand-media
Opgelost in
1.25.1
CVE-2025-63014 beschrijft een Cross-Site Request Forgery (CSRF) kwetsbaarheid in de Gmedia Photo Gallery plugin voor WordPress. Een CSRF-aanval maakt het mogelijk voor een aanvaller om namens een geauthenticeerde gebruiker acties uit te voeren zonder hun medeweten. Deze kwetsbaarheid treft versies van Gmedia Photo Gallery van 0.0.0 tot en met 1.25.0. Een beveiligingsupdate is beschikbaar.
Met deze CSRF-kwetsbaarheid kan een aanvaller, via een kwaadaardige website of e-mail, ongeautoriseerde acties uitvoeren op een WordPress-site waarop Gmedia Photo Gallery is geïnstalleerd. Dit kan variëren van het wijzigen van instellingen tot het uploaden van schadelijke bestanden, afhankelijk van de rechten van de gebruiker. De impact is aanzienlijk, omdat een aanvaller de controle over de website kan overnemen. Het misbruik van deze kwetsbaarheid kan leiden tot dataverlies, reputatieschade en verstoring van de dienstverlening.
Op dit moment zijn er geen openbare exploitaties bekend. De kwetsbaarheid is openbaar gemaakt op 31 december 2025. De ernst is beoordeeld als medium. Er is geen vermelding op de CISA KEV catalogus.
WordPress websites utilizing the Gmedia Photo Gallery plugin, particularly those running versions 0.0.0 through 1.25.0, are at risk. Shared hosting environments where plugin updates are managed centrally are also at increased risk due to potential delays in patching.
• wordpress / composer / npm:
grep -r 'gmedia_photo_gallery_settings' wp-content/plugins/gmedia-photo-gallery/• generic web:
curl -I https://example.com/wp-content/plugins/gmedia-photo-gallery/ | grep -i 'csrf-token'disclosure
Exploit Status
EPSS
0.02% (5% percentiel)
CISA SSVC
CVSS-vector
De primaire mitigatie is het upgraden van de Gmedia Photo Gallery plugin naar de meest recente versie, die de CSRF-bescherming bevat. Indien een upgrade momenteel niet mogelijk is, overweeg dan het implementeren van extra beveiligingsmaatregelen, zoals het verifiëren van alle POST-verzoeken met CSRF-tokens. WAF-regels die POST-verzoeken van onbetrouwbare bronnen blokkeren, kunnen ook helpen. Controleer de WordPress-configuratie op extra beveiligingsinstellingen die CSRF-aanvallen kunnen beperken.
Geen bekende patch beschikbaar. Bestudeer de details van de kwetsbaarheid grondig en pas mitigaties toe op basis van de risicotolerantie van uw organisatie. Het kan het beste zijn om de getroffen software te verwijderen en een vervanging te zoeken.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
CVE-2025-63014 is een Cross-Site Request Forgery (CSRF) kwetsbaarheid in de Gmedia Photo Gallery plugin voor WordPress, waardoor een aanvaller ongeautoriseerde acties kan uitvoeren.
Ja, als u Gmedia Photo Gallery gebruikt in versie 0.0.0 tot en met 1.25.0, dan bent u getroffen door deze kwetsbaarheid.
Upgrade de Gmedia Photo Gallery plugin naar de meest recente versie. Indien dit niet mogelijk is, implementeer dan mitigaties zoals CSRF-tokens.
Op dit moment zijn er geen openbare exploitaties bekend, maar het is belangrijk om de kwetsbaarheid te patchen om toekomstige aanvallen te voorkomen.
Raadpleeg de Gmedia Photo Gallery website of de WordPress plugin directory voor de meest recente informatie en updates.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.