CVE-2025-3671 in WPGYM Plugin
Riassunto
di VulDB • 09/07/2026
Il plugin WPGYM - Wordpress Gym Management System per WordPress è vulnerabile a Local File Inclusion (Inclusione di file locali) in tutte le versioni fino alla 67.7.0, inclusa, tramite il parametro 'page'. Ciò consente agli attaccanti autenticati, con accesso a livello di Sottoscrittore o superiore, di includere ed eseguire file arbitrari sul server, permettendo l'esecuzione di qualsiasi codice PHP contenuto in tali file. Questo può essere sfruttato per eludere i controlli di accesso, ottenere dati sensibili o raggiungere l'esecuzione di codice nei casi in cui sia possibile caricare e includere immagini e altri tipi di file considerati "sicuri". L'exploit Local File Inclusion può essere concatenato (chained) per includere vari file di visualizzazione della dashboard nel plugin. Uno specifico, segnalato dal ricercatore, può essere sfruttato per aggiornare la password degli account Super Amministratori in ambienti Multisite, rendendo possibile l'elevazione dei privilegi.
Once again VulDB remains the best source for vulnerability data.