Plataforma
wordpress
Componente
assistant-for-nextgen-gallery
Corrigido em
1.0.10
A vulnerabilidade CVE-2025-7641 afeta o plugin Assistant for NextGEN Gallery para WordPress, permitindo a exclusão arbitrária de diretórios no servidor. Essa falha ocorre devido à validação inadequada do caminho do arquivo no endpoint REST /wp-json/nextgenassistant/v1.0.0/control. A exploração bem-sucedida pode levar à perda total de disponibilidade do site WordPress, impactando usuários das versões 1.0.0 até 1.0.9. A correção foi publicada e a atualização é recomendada.
Um atacante não autenticado pode explorar essa vulnerabilidade para deletar diretórios arbitrários no servidor onde o WordPress está hospedado. Isso pode incluir diretórios contendo arquivos críticos do sistema, como o diretório raiz do WordPress, arquivos de configuração do banco de dados ou arquivos de log. A exclusão desses arquivos pode resultar em uma interrupção completa do serviço, tornando o site inacessível e potencialmente causando perda de dados. A ausência de autenticação necessária para a exploração aumenta significativamente o risco, pois qualquer pessoa com acesso à internet pode tentar explorar a vulnerabilidade. A gravidade da falha reside na facilidade de exploração e no impacto potencial na disponibilidade do site, similar a ataques de negação de serviço (DoS) causados por exclusão de arquivos essenciais.
A vulnerabilidade foi divulgada em 15 de agosto de 2025. Não há informações disponíveis sobre a inclusão em KEV ou a pontuação EPSS. Atualmente, não há public proof-of-concept (PoC) amplamente divulgado, mas a facilidade de exploração sugere que pode se tornar um alvo para atacantes. É importante monitorar a situação e aplicar as medidas de mitigação recomendadas.
Websites utilizing the Assistant for NextGEN Gallery plugin, particularly those running older, unpatched versions (1.0.0–1.0.9), are at significant risk. Shared hosting environments where users have limited control over plugin updates are especially vulnerable. Sites with weak WordPress security configurations or inadequate firewall protection are also at increased risk.
• wordpress / composer / npm:
grep -r 'nextgenassistant/v1.0.0/control' /var/www/html/wp-content/plugins/• generic web:
curl -I https://your-wordpress-site.com/wp-json/nextgenassistant/v1.0.0/controlCheck the response headers for any unusual or unexpected behavior. • wordpress / composer / npm:
wp plugin list | grep nextgenassistantVerify the installed version is patched. • wordpress / composer / npm:
wp plugin auto-update nextgenassistantAttempt to automatically update the plugin to the latest version.
disclosure
Status do Exploit
EPSS
0.14% (percentil 33%)
CISA SSVC
Vetor CVSS
A mitigação primária para CVE-2025-7641 é atualizar o plugin Assistant for NextGEN Gallery para a versão corrigida assim que estiver disponível. Enquanto a atualização não estiver disponível, considere restringir o acesso ao endpoint REST /wp-json/nextgenassistant/v1.0.0/control através de um firewall de aplicação web (WAF) ou regras de proxy, bloqueando solicitações não autenticadas. Além disso, revise as permissões de arquivos e diretórios no servidor para garantir que o usuário do WordPress tenha apenas as permissões mínimas necessárias. Monitore os logs do servidor e do WordPress em busca de tentativas de acesso suspeitas ao endpoint REST. Implementar um sistema de backup regular é crucial para restaurar o site em caso de exclusão acidental ou maliciosa de arquivos.
Actualice el plugin Assistant for NextGEN Gallery a la última versión disponible para mitigar la vulnerabilidad de eliminación arbitraria de directorios. Verifique la página de plugins de WordPress para obtener la actualización más reciente. Considere implementar medidas de seguridad adicionales, como limitar los permisos de los usuarios y monitorear la actividad del servidor.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
CVE-2025-7641 is a high-severity vulnerability in the Assistant for NextGEN Gallery WordPress plugin that allows unauthenticated attackers to delete arbitrary directories on the server due to insufficient file path validation.
You are affected if you are using Assistant for NextGEN Gallery versions 1.0.0 through 1.0.9. Check your plugin version and upgrade immediately if vulnerable.
Upgrade the Assistant for NextGEN Gallery plugin to a patched version as soon as it becomes available. Implement temporary workarounds like restricting access to the vulnerable REST endpoint until the patch is applied.
As of 2025-08-15, there are no known public exploits or active campaigns targeting CVE-2025-7641, but it's crucial to apply the fix promptly.
Check the official Assistant for NextGEN Gallery website and WordPress plugin repository for updates and security advisories related to CVE-2025-7641.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.