Plataforma
wordpress
Componente
grand-media
Corrigido em
1.25.1
Uma vulnerabilidade de Cross-Site Request Forgery (CSRF) foi identificada no plugin Gmedia Photo Gallery, afetando versões de 0.0.0 até 1.25.0. CSRF permite que um atacante execute ações em nome de um usuário autenticado sem o seu conhecimento. A exploração bem-sucedida pode levar à modificação de configurações, exclusão de dados ou outras ações administrativas, dependendo das permissões do usuário. A correção foi disponibilizada em versões posteriores ao 1.25.0.
A vulnerabilidade CSRF em Gmedia Photo Gallery permite que um atacante, através de um site malicioso, induza um usuário autenticado a executar ações indesejadas na galeria de fotos. Isso pode incluir a alteração de configurações da galeria, a exclusão de fotos e álbuns, ou até mesmo a criação de novos usuários com privilégios administrativos, dependendo das permissões do usuário atacado. Um atacante poderia, por exemplo, criar um link malicioso que, quando clicado por um administrador, apagaria todos os álbuns da galeria. A gravidade do impacto depende do nível de acesso do usuário que for vítima do ataque.
A vulnerabilidade foi divulgada em 31 de dezembro de 2025. Não há informações disponíveis sobre exploração ativa ou a inclusão em catálogos como o KEV da CISA. A ausência de um Proof of Concept (PoC) público dificulta a avaliação do risco real, mas a natureza da vulnerabilidade CSRF a torna potencialmente explorável.
WordPress websites utilizing the Gmedia Photo Gallery plugin, particularly those running versions 0.0.0 through 1.25.0, are at risk. Shared hosting environments where plugin updates are managed centrally are also at increased risk due to potential delays in patching.
• wordpress / composer / npm:
grep -r 'gmedia_photo_gallery_settings' wp-content/plugins/gmedia-photo-gallery/• generic web:
curl -I https://example.com/wp-content/plugins/gmedia-photo-gallery/ | grep -i 'csrf-token'disclosure
Status do Exploit
EPSS
0.02% (percentil 5%)
CISA SSVC
Vetor CVSS
A mitigação primária é atualizar o plugin Gmedia Photo Gallery para uma versão posterior a 1.25.0, onde a vulnerabilidade foi corrigida. Se a atualização imediata não for possível, implemente medidas de proteção contra CSRF, como a utilização de tokens CSRF em todos os formulários e requisições críticas. Considere a utilização de um plugin de segurança do WordPress que ofereça proteção contra CSRF. Além disso, revise as permissões dos usuários para garantir que eles tenham apenas o acesso necessário para realizar suas tarefas.
Nenhum patch conhecido disponível. Por favor, revise os detalhes da vulnerabilidade em profundidade e implemente mitigações com base na tolerância ao risco da sua organização. Pode ser melhor desinstalar o software afetado e encontrar um substituto.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
CVE-2025-63014 é uma vulnerabilidade de Cross-Site Request Forgery (CSRF) no plugin Gmedia Photo Gallery, permitindo que atacantes executem ações não autorizadas em nome de usuários autenticados.
Se você estiver utilizando o plugin Gmedia Photo Gallery em versões de 0.0.0 até 1.25.0, você está potencialmente afetado por esta vulnerabilidade.
A correção é atualizar o plugin Gmedia Photo Gallery para uma versão posterior a 1.25.0. Se a atualização não for possível, implemente medidas de proteção contra CSRF.
Atualmente, não há informações sobre exploração ativa desta vulnerabilidade, mas a natureza do CSRF a torna potencialmente explorável.
Consulte o site oficial do Gmedia Photo Gallery ou o repositório do plugin no WordPress.org para obter o advisory oficial e informações sobre a correção.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.