HIGHCVE-2025-7641CVSS 7.5

Assistant for NextGEN Gallery <= 1.0.9 - 未经身份验证的任意目录删除

Q: 什么是 CVE-2025-7641 — 目录删除漏洞在 Assistant for NextGEN Gallery 中？

CVE-2025-7641 是 WordPress 插件 Assistant for NextGEN Gallery 中的一个漏洞，允许攻击者删除服务器上的任意目录，导致服务不可用。

Q: 我是否受到 CVE-2025-7641 在 Assistant for NextGEN Gallery 中影响？

如果您正在使用 Assistant for NextGEN Gallery 插件的版本 1.0.0 至 1.0.9，则您可能受到影响。

Q: 我如何修复 CVE-2025-7641 在 Assistant for NextGEN Gallery 中？

升级到最新版本，或禁用插件并限制对 `/wp-json/nextgenassistant/v1.0.0/control` REST API 接口的访问。

Q: CVE-2025-7641 是否正在被积极利用？

目前尚无公开的漏洞利用代码，但由于其严重性，存在被利用的风险。

Q: 在哪里可以找到官方 Assistant for NextGEN Gallery 关于 CVE-2025-7641 的公告？

请访问 Assistant for NextGEN Gallery 插件的官方网站或 WordPress 插件目录，查找相关安全公告。

平台

wordpress

组件

assistant-for-nextgen-gallery

修复版本

1.0.10

AI Confidence: highNVDEPSS 0.1%已审阅: 2026年5月

在NVD查看

保存

CVE-2025-7641 是 WordPress 插件 Assistant for NextGEN Gallery 中的一个严重漏洞，允许攻击者执行任意目录删除操作。由于 REST API 接口中的文件路径验证不足，未经身份验证的攻击者可以删除服务器上的任意目录，从而导致服务完全中断。此漏洞影响版本 1.0.0 至 1.0.9。建议立即升级到修复版本或实施缓解措施。

影响与攻击场景

该漏洞的影响非常严重，攻击者可以利用它完全删除服务器上的重要文件和目录，导致网站瘫痪。攻击者无需身份验证即可执行此操作，这意味着任何人都可能成为目标。攻击者可以删除 WordPress 核心文件、插件、主题、数据库文件，甚至整个网站根目录。这种攻击可能导致数据丢失、服务中断，并对网站的声誉造成损害。由于该漏洞允许删除任意目录，因此攻击范围非常广，可能影响整个服务器环境。

利用背景

目前尚无公开的漏洞利用代码，但该漏洞的严重性较高，存在被利用的风险。该漏洞已于 2025 年 8 月 15 日公开披露。由于其易于利用的特性，建议尽快采取缓解措施。CISA 尚未将其添加到 KEV 目录，但应密切关注相关安全公告。

哪些人处于风险中翻译中…

Websites utilizing the Assistant for NextGEN Gallery plugin, particularly those running older, unpatched versions (1.0.0–1.0.9), are at significant risk. Shared hosting environments where users have limited control over plugin updates are especially vulnerable. Sites with weak WordPress security configurations or inadequate firewall protection are also at increased risk.

检测步骤翻译中…

• wordpress / composer / npm:

grep -r 'nextgenassistant/v1.0.0/control' /var/www/html/wp-content/plugins/

• generic web:

curl -I https://your-wordpress-site.com/wp-json/nextgenassistant/v1.0.0/control

Check the response headers for any unusual or unexpected behavior. • wordpress / composer / npm:

wp plugin list | grep nextgenassistant

Verify the installed version is patched. • wordpress / composer / npm:

wp plugin auto-update nextgenassistant

Attempt to automatically update the plugin to the latest version.

攻击时间线

2025-08-15Disclosure
disclosure

威胁情报

漏洞利用状态

概念验证未知

CISA KEVNO

互联网暴露高

EPSS

0.14% (33% 百分位)

CISA SSVC

利用情况none

可自动化yes

技术影响partial

CVSS 向量

受影响的软件

组件assistant-for-nextgen-gallery

供应商48hmorris

影响范围修复版本

1.0.0 – 1.0.91.0.10

弱点分类 (CWE)

CWE-22

时间线

已保留2025-07-14
发布日期2025-08-15
修改日期2026-04-08
EPSS 更新日期2026-03-23

未修复 — 披露已282天

缓解措施和替代方案

如果无法立即升级，可以尝试以下缓解措施。首先，禁用 Assistant for NextGEN Gallery 插件。其次，限制对 /wp-json/nextgenassistant/v1.0.0/control REST API 接口的访问，可以使用 WordPress 的 .htaccess 文件或 Web 应用防火墙 (WAF) 来实现。例如，可以使用 .htaccess 文件阻止所有非授权用户的访问。此外，定期备份 WordPress 网站和数据库，以便在发生攻击时能够快速恢复。升级后，请验证修复是否成功，检查关键目录是否仍然存在，并确认网站功能是否正常。

修复方法翻译中…

Actualice el plugin Assistant for NextGEN Gallery a la última versión disponible para mitigar la vulnerabilidad de eliminación arbitraria de directorios.  Verifique la página de plugins de WordPress para obtener la actualización más reciente.  Considere implementar medidas de seguridad adicionales, como limitar los permisos de los usuarios y monitorear la actividad del servidor.

CVE 安全通讯

漏洞分析和关键警报直接发送到您的邮箱。

常见问题

什么是 CVE-2025-7641 — 目录删除漏洞在 Assistant for NextGEN Gallery 中？