Plataforma
wordpress
Componente
ultimate-video-player
Corregido en
10.0.1
El plugin Ultimate Video Player para WordPress & WooCommerce es vulnerable a una falla de acceso arbitrario a archivos (Directory Traversal). Esta vulnerabilidad permite a atacantes no autenticados leer archivos arbitrarios en el servidor, comprometiendo potencialmente información confidencial. La vulnerabilidad afecta a todas las versiones hasta la 10.0. Se recomienda actualizar a la última versión disponible o implementar medidas de mitigación inmediatas.
Un atacante puede explotar esta vulnerabilidad para leer archivos sensibles almacenados en el servidor web. Esto podría incluir archivos de configuración, contraseñas, claves API, o incluso código fuente. El acceso a estos archivos podría permitir al atacante obtener información confidencial, comprometer la seguridad del sitio web, o incluso ejecutar código malicioso. La severidad de la vulnerabilidad radica en la facilidad de explotación y el potencial impacto en la confidencialidad de los datos. La falta de autenticación requerida para la explotación amplía significativamente el riesgo.
La vulnerabilidad fue publicada el 7 de marzo de 2025. No se ha reportado explotación activa en campañas conocidas, pero la naturaleza de la vulnerabilidad (Directory Traversal) la hace susceptible a escaneos automatizados y explotación oportunista. Es importante monitorear los logs del servidor en busca de actividad sospechosa. La vulnerabilidad no se encuentra en el catálogo KEV de CISA al momento de esta redacción.
Websites utilizing the Ultimate Video Player plugin, particularly those running older versions (≤10.0), are at risk. Shared hosting environments are especially vulnerable as they often have limited control over file permissions and server configurations. WordPress sites with sensitive data stored on the same server are also at increased risk.
• wordpress / composer / npm:
grep -r 'content/downloader.php' /var/www/html/• generic web:
curl -I https://your-wordpress-site.com/content/downloader.php | grep -i 'content-type'• wordpress / composer / npm:
wp plugin list | grep "Ultimate Video Player"disclosure
Estado del Exploit
EPSS
2.55% (85% percentil)
CISA SSVC
Vector CVSS
La mitigación principal es actualizar el plugin Ultimate Video Player a la última versión disponible, que corrige esta vulnerabilidad. Si la actualización no es inmediatamente posible, se recomienda implementar medidas de seguridad adicionales, como restringir el acceso al archivo downloader.php a través de un firewall de aplicaciones web (WAF) o un proxy inverso. Además, es crucial revisar los permisos de los archivos y directorios del servidor para asegurar que solo los usuarios autorizados tengan acceso a ellos. Después de la actualización, confirme que la vulnerabilidad ha sido resuelta verificando que el acceso al archivo downloader.php está correctamente restringido.
Actualice el plugin Ultimate Video Player WordPress & WooCommerce Plugin a la última versión disponible. Esto solucionará la vulnerabilidad de descarga de archivos arbitrarios no autenticada.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2024-10804 is a vulnerability in the Ultimate Video Player WordPress plugin allowing unauthenticated attackers to read arbitrary files on the server via the content/downloader.php file, rated as CVSS 7.5 (HIGH).
You are affected if you are using the Ultimate Video Player WordPress plugin version 10.0 or earlier. Check your plugin version and upgrade immediately.
Upgrade the Ultimate Video Player WordPress plugin to the latest version, which includes the security patch. If upgrading is not possible, restrict access to content/downloader.php with a WAF.
As of now, there are no confirmed reports of active exploitation, but the vulnerability's ease of exploitation warrants immediate mitigation.
Refer to the plugin developer's website or the WordPress plugin repository for the official advisory and updated version.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.