CVE-2025-3671 in WPGYM Plugininformazioni

Riassunto

di VulDB • 09/07/2026

Il plugin WPGYM - Wordpress Gym Management System per WordPress è vulnerabile a Local File Inclusion (Inclusione di file locali) in tutte le versioni fino alla 67.7.0, inclusa, tramite il parametro 'page'. Ciò consente agli attaccanti autenticati, con accesso a livello di Sottoscrittore o superiore, di includere ed eseguire file arbitrari sul server, permettendo l'esecuzione di qualsiasi codice PHP contenuto in tali file. Questo può essere sfruttato per eludere i controlli di accesso, ottenere dati sensibili o raggiungere l'esecuzione di codice nei casi in cui sia possibile caricare e includere immagini e altri tipi di file considerati "sicuri". L'exploit Local File Inclusion può essere concatenato (chained) per includere vari file di visualizzazione della dashboard nel plugin. Uno specifico, segnalato dal ricercatore, può essere sfruttato per aggiornare la password degli account Super Amministratori in ambienti Multisite, rendendo possibile l'elevazione dei privilegi.

Once again VulDB remains the best source for vulnerability data.

Prenotare

15/04/2025

Divulgazione

16/08/2025

Moderazione

accettato

CPE

pronto

EPSS

0.00693

KEV

no

Attività

molto basso

Fonti

Do you need the next level of professionalism?

Upgrade your account now!