平台
wordpress
组件
fw-gallery
修复版本
8.0.1
CVE-2025-49415 描述了Fastw3b LLC FW Gallery组件中的路径遍历漏洞。该漏洞允许攻击者通过构造恶意请求访问服务器上的任意文件,可能导致敏感信息泄露或系统被篡改。受影响的版本包括从0.0.0到8.0.0的版本。已发布补丁版本8.0.1。
攻击者可以利用此路径遍历漏洞访问服务器文件系统中的任何文件,只要他们能够发送一个构造的HTTP请求。这可能包括读取配置文件、源代码、日志文件或其他包含敏感信息的文档。如果服务器运行在公共可访问的环境中,攻击者可能能够下载这些文件并将其泄露给未经授权的第三方。更严重的后果包括攻击者修改服务器上的文件,从而导致服务中断或恶意代码注入。该漏洞的潜在影响范围取决于服务器上存储的数据类型和敏感程度。
目前尚无公开的利用代码(PoC),但该漏洞的CVSS评分为8.6(高),表明其具有较高的利用风险。该漏洞已于2025年6月17日公开披露。建议密切关注安全社区的动态,以获取最新的威胁情报。
WordPress websites utilizing the FW Gallery plugin, particularly those running older versions (0.0.0 - 8.0.0), are at significant risk. Shared hosting environments where users have limited control over plugin updates are especially vulnerable.
• wordpress / composer / npm:
grep -r "../" /var/www/html/wp-content/plugins/fw-gallery/*• generic web:
curl -I http://your-wordpress-site.com/wp-content/plugins/fw-gallery/../../../../etc/passwddisclosure
漏洞利用状态
EPSS
0.10% (26% 百分位)
CISA SSVC
CVSS 向量
最有效的缓解措施是立即将FW Gallery升级到8.0.1版本或更高版本。如果无法立即升级,可以考虑使用Web应用防火墙(WAF)来过滤恶意请求,阻止包含路径遍历攻击模式的请求。此外,可以限制FW Gallery的访问权限,只允许授权用户访问。在升级后,请验证漏洞是否已成功修复,例如通过尝试访问受保护的文件,确认访问被拒绝。
Actualice el plugin FW Gallery a la última versión disponible para solucionar la vulnerabilidad de recorrido de directorio. Verifique las actualizaciones disponibles en el panel de administración de WordPress o a través del repositorio de plugins de WordPress. Asegúrese de realizar una copia de seguridad completa del sitio antes de actualizar cualquier plugin.
漏洞分析和关键警报直接发送到您的邮箱。
CVE-2025-49415描述了FW Gallery (0.0.0–8.0.0)中的路径遍历漏洞,攻击者可利用此漏洞访问服务器上的任意文件。
如果您正在使用FW Gallery的版本低于8.0.1,则可能受到此漏洞的影响。请立即检查您的版本并升级。
升级到FW Gallery 8.0.1或更高版本是修复此漏洞的最佳方法。
目前尚未确认CVE-2025-49415正在被积极利用,但由于其高危级别,建议尽快采取缓解措施。
请访问FW Gallery官方网站或GitHub仓库,查找关于CVE-2025-49415的安全公告。
上传你的依赖文件,立即了解此CVE和其他CVE是否影响你。