Plataforma
wordpress
Componente
fw-gallery
Corrigido em
8.0.1
A vulnerabilidade CVE-2025-49415, classificada como Path Traversal (Acesso Arbitrário a Arquivos), afeta o componente FW Gallery da Fastw3b LLC. Esta falha permite que atacantes explorem a falta de restrição de caminho para acessar arquivos fora do diretório previsto, potencialmente expondo informações confidenciais. As versões afetadas são da 0.0.0 até a 8.0.0, e uma correção foi lançada na versão 8.0.1.
Um atacante que explore com sucesso a vulnerabilidade CVE-2025-49415 pode obter acesso não autorizado a arquivos no servidor onde a FW Gallery está instalada. Isso inclui arquivos de configuração, código-fonte, backups de banco de dados e outros dados sensíveis. O impacto pode variar dependendo da localização dos arquivos acessíveis, mas em cenários mais graves, pode levar à divulgação de informações confidenciais, comprometimento do sistema ou até mesmo execução remota de código, dependendo dos arquivos que podem ser lidos e manipulados. A ausência de validação adequada do caminho do arquivo permite que um atacante utilize sequências como '..' para navegar pela estrutura de diretórios e acessar arquivos fora do escopo pretendido.
A vulnerabilidade CVE-2025-49415 foi publicada em 2025-06-17. Atualmente, não há informações disponíveis sobre exploração ativa ou a inclusão desta CVE no KEV (CISA Known Exploited Vulnerabilities) catalog. A existência de um Proof of Concept (PoC) público não foi confirmada até o momento, mas a natureza da vulnerabilidade (Path Traversal) a torna relativamente fácil de explorar, aumentando o risco de exploração futura.
WordPress websites utilizing the FW Gallery plugin, particularly those running older versions (0.0.0 - 8.0.0), are at significant risk. Shared hosting environments where users have limited control over plugin updates are especially vulnerable.
• wordpress / composer / npm:
grep -r "../" /var/www/html/wp-content/plugins/fw-gallery/*• generic web:
curl -I http://your-wordpress-site.com/wp-content/plugins/fw-gallery/../../../../etc/passwddisclosure
Status do Exploit
EPSS
0.10% (percentil 26%)
CISA SSVC
Vetor CVSS
A mitigação primária para CVE-2025-49415 é atualizar a FW Gallery para a versão 8.0.1 ou superior, que inclui a correção para esta vulnerabilidade. Se a atualização imediata não for possível, considere implementar medidas de segurança adicionais, como restringir o acesso ao diretório da FW Gallery através de regras de firewall ou WAF (Web Application Firewall). Além disso, revise as permissões de arquivo para garantir que apenas os usuários autorizados tenham acesso aos arquivos sensíveis. Após a atualização, verifique se a vulnerabilidade foi corrigida tentando acessar arquivos fora do diretório esperado através do navegador e confirmando que o acesso é negado.
Actualice el plugin FW Gallery a la última versión disponible para solucionar la vulnerabilidad de recorrido de directorio. Verifique las actualizaciones disponibles en el panel de administración de WordPress o a través del repositorio de plugins de WordPress. Asegúrese de realizar una copia de seguridad completa del sitio antes de actualizar cualquier plugin.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
CVE-2025-49415 is a HIGH severity vulnerability in FW Gallery for WordPress that allows attackers to read arbitrary files on the server.
You are affected if you are using FW Gallery versions 0.0.0 through 8.0.0. Upgrade to 8.0.1 to mitigate the risk.
Upgrade the FW Gallery plugin to version 8.0.1 or later. Consider WAF rules as a temporary workaround if upgrading is not immediately possible.
There are currently no known active exploits, but it's crucial to patch promptly to prevent potential future exploitation.
Refer to the official Fastw3b LLC website or WordPress plugin repository for the latest advisory and update information.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.