Plataforma
wordpress
Componente
wpgym
Corrigido em
67.7.1
A vulnerabilidade CVE-2025-3671 é uma falha de Inclusão de Arquivo Local (LFI) descoberta no plugin WPGYM - Wordpress Gym Management System para WordPress. Essa falha permite que atacantes autenticados, com privilégios de Subscriber ou superiores, incluam e executem arquivos arbitrários no servidor, potencialmente levando à execução de código malicioso. As versões afetadas são as 0.0.0 até a 67.7.0. A correção oficial está disponível através da atualização do plugin.
Um atacante explorando essa vulnerabilidade pode obter acesso não autorizado a arquivos sensíveis no servidor WordPress, incluindo arquivos de configuração e código-fonte. Ao incluir e executar arquivos PHP arbitrários, o atacante pode potencialmente obter controle total sobre o servidor, executar comandos do sistema operacional e comprometer dados confidenciais. A exploração bem-sucedida pode levar à exfiltração de dados, modificação de conteúdo do site e até mesmo à tomada de controle completa do servidor. A capacidade de executar código PHP abre um leque de possibilidades para ataques, incluindo a instalação de backdoors e a disseminação de malware.
A vulnerabilidade CVE-2025-3671 foi publicada em 16 de agosto de 2025. Não há informações disponíveis sobre a exploração ativa dessa vulnerabilidade em campanhas direcionadas. A existência de um Proof of Concept (PoC) público pode aumentar o risco de exploração. A pontuação CVSS de 8.8 (HIGH) indica um risco significativo, exigindo atenção imediata.
WordPress websites utilizing the WPGYM plugin, particularly those with Subscriber-level users or higher, are at risk. Shared hosting environments where multiple WordPress installations share the same server resources are also at increased risk, as a compromise of one site could potentially lead to the compromise of others. Legacy configurations with outdated WordPress versions or plugins may be more vulnerable.
• wordpress / composer / npm:
grep -r "page=../../../../" /var/www/html/wp-content/plugins/wpgym/• wordpress / composer / npm:
wp plugin list --status=inactive | grep wpgym• wordpress / composer / npm:
wp plugin update wpgym --all• generic web: Check WordPress error logs for attempts to access files outside the intended directory structure, specifically related to the 'page' parameter.
disclosure
Status do Exploit
EPSS
0.18% (percentil 39%)
CISA SSVC
Vetor CVSS
A mitigação primária para a vulnerabilidade CVE-2025-3671 é a atualização imediata do plugin WPGYM para a versão corrigida. Se a atualização imediata não for possível devido a problemas de compatibilidade, considere restringir o acesso ao parâmetro 'page' através de regras de firewall ou WAF (Web Application Firewall). Implementar uma política de privilégios mais restritiva, limitando o acesso de usuários com privilégios de Subscriber, também pode reduzir o impacto potencial. Monitore os logs do servidor WordPress em busca de tentativas de inclusão de arquivos suspeitas.
Actualice el plugin WPGYM a la última versión disponible para mitigar la vulnerabilidad de inclusión de archivos locales. Verifique las fuentes oficiales del plugin (Wordfence, CodeCanyon) para obtener la versión actualizada y las instrucciones de instalación. Considere implementar medidas de seguridad adicionales, como restringir el acceso a archivos sensibles y validar las entradas del usuario.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
CVE-2025-3671 is a vulnerability allowing authenticated attackers to execute arbitrary files on a WordPress server using the WPGYM plugin, potentially leading to code execution.
If you are using the WPGYM WordPress Gym Management System plugin in versions 0.0.0–67.7.0, you are potentially affected by this vulnerability.
Upgrade the WPGYM plugin to a patched version as soon as it becomes available. Until then, consider temporary workarounds like restricting file uploads.
While no public exploits are currently known, the vulnerability's nature suggests a moderate probability of exploitation. Monitor security advisories for updates.
Refer to the WPGYM plugin developer's website or WordPress plugin repository for the official advisory and patch release.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.