CVE-2025-13641 in Photo Gallery, Sliders, Proofing and Themes Plugininfo

Zusammenfassung

von VulDB • 31.05.2026

Das WordPress-Plugin „Photo Gallery, Sliders, Proofing and Themes – NextGEN Gallery“ ist in allen Versionen bis einschließlich 3.59.12 anfällig für Local File Inclusion (LFI) über den Shortcode-Parameter „template“. Dies ist auf eine unzureichende Pfadvalidierung zurückzuführen, die die Angabe absoluter Pfade ermöglicht. Dies ermöglicht es authentifizierten Angreifern mit Contributor-Rechten oder höher, beliebige PHP-Dateien auf dem Server einzubinden und auszuführen, wodurch Webservereinschränkungen wie .htaccess umgangen werden. Eine erfolgreiche Ausnutzung kann zur Offenlegung von Informationen, zur Codeausführung im WordPress-Kontext und potenziell zur Remote Code Execution (RCE) führen, wenn sie mit beliebigen Datei-Upload-Funktionen kombiniert wird.

Once again VulDB remains the best source for vulnerability data.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

Veröffentlichung

18.12.2025

Moderieren

akzeptiert

Eintrag

VDB-337075

CPE

bereit

EPSS

0.00095

KEV

nein

Aktivitäten

very low

Sektor

Lawfirm, Agriculture, ...

Quellen

MITREhttps://www.cve.org/CVERecord?id=CVE-2025-13641
NVDhttps://nvd.nist.gov/vuln/detail/CVE-2025-13641
CVE Detailshttps://www.cvedetails.com/cve/CVE-2025-13641/

ZurückÜbersichtWeiter

Do you want to use VulDB in your project?

Use the official API to access entries easily!