Plataforma
wordpress
Componente
videowhisper-live-streaming-integration
Corregido en
6.2.1
Se ha identificado una vulnerabilidad de Acceso Arbitrario a Archivos (Path Traversal) en el plugin Broadcast Live Video. Esta falla permite a atacantes acceder a archivos sensibles en el servidor, comprometiendo la confidencialidad e integridad de los datos. La vulnerabilidad afecta a las versiones desde 0.0.0 hasta la 6.2, y se recomienda actualizar a la versión 6.2.1 para solucionar el problema.
La vulnerabilidad de Path Traversal en Broadcast Live Video permite a un atacante, mediante la manipulación de parámetros en las solicitudes HTTP, acceder a archivos fuera del directorio previsto. Esto podría incluir archivos de configuración, código fuente, o incluso archivos de bases de datos, dependiendo de los permisos del servidor web. Un atacante podría leer información confidencial, modificar archivos críticos, o incluso ejecutar código malicioso en el servidor. El impacto potencial es significativo, pudiendo resultar en la exposición de datos sensibles, la interrupción del servicio, y la toma de control del servidor.
Esta vulnerabilidad ha sido publicada el 25 de febrero de 2025. No se ha reportado su explotación activa en campañas conocidas, pero la naturaleza de Path Traversal la convierte en un objetivo atractivo para atacantes. La disponibilidad de un PoC público podría facilitar su explotación. Se recomienda monitorear los registros del servidor web en busca de patrones de solicitud sospechosos.
WordPress websites utilizing the Broadcast Live Video plugin, particularly those running older versions (0.0.0–6.2), are at significant risk. Shared hosting environments where users have limited control over plugin updates are also particularly vulnerable. Sites with sensitive data stored on the server are at higher risk of data compromise.
• wordpress / composer / npm:
grep -r "../" /var/www/html/videowhisper-live-streaming-integration/*• generic web:
curl -I 'http://your-wordpress-site.com/videowhisper-live-streaming-integration/../../../../etc/passwd' # Check for file disclosuredisclosure
Estado del Exploit
EPSS
0.19% (41% percentil)
CISA SSVC
Vector CVSS
La mitigación principal para esta vulnerabilidad es actualizar Broadcast Live Video a la versión 6.2.1, que incluye la corrección de la falla. Si la actualización no es inmediatamente posible, se recomienda implementar medidas de seguridad adicionales, como restringir el acceso a los directorios sensibles del servidor web a través de reglas de firewall o WAF. Además, se debe revisar la configuración del servidor web para asegurar que no se permita el acceso a archivos fuera del directorio raíz. Después de la actualización, confirme que la vulnerabilidad ha sido resuelta verificando que las solicitudes de acceso a archivos fuera del directorio previsto sean bloqueadas.
Actualice el plugin 'Broadcast Live Video' a la última versión disponible para solucionar la vulnerabilidad de recorrido de directorio. Verifique las actualizaciones disponibles en el panel de administración de WordPress o a través del repositorio de plugins de WordPress. Asegúrese de realizar una copia de seguridad completa de su sitio web antes de aplicar cualquier actualización.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2025-26752 is a HIGH severity vulnerability in Broadcast Live Video allowing attackers to read arbitrary files due to improper path validation. It affects versions 0.0.0–6.2.
Yes, if you are using Broadcast Live Video versions 0.0.0 through 6.2, you are affected by this vulnerability and should upgrade immediately.
Upgrade the Broadcast Live Video plugin to version 6.2.1 or later. As a temporary workaround, implement a WAF rule to block path traversal attempts.
There is currently no evidence of active exploitation, but the ease of exploitation makes it a potential target.
Refer to the vendor's official website or WordPress plugin repository for the latest advisory and update information.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.