CVE-2025-3671

Nome do Software Vulnerável e Versões Afetadas: Plugin WPGYM - Wordpress Gym Management System versões anteriores à 67.7.1

Descrição: O plugin WPGYM - Wordpress Gym Management System para WordPress está suscetível a Inclusão Local de Arquivos através do parâmetro page. Isso permite que atacantes autenticados com acesso de nível de Assinante ou superior incluam e executem arquivos arbitrários no servidor, possibilitando potencialmente a execução de código PHP. Isso pode ser explorado para contornar controles de acesso, obter dados sensíveis ou realizar execução de código, especialmente quando combinado com a capacidade de fazer upload e incluir arquivos. A exploração também pode levar ao escalonamento de privilégios, como a atualização das senhas de contas de Super Administrador em ambientes Multisite.

Recomendações: Atualize o plugin WPGYM - Wordpress Gym Management System para a versão 67.7.1 ou superior.