Plataforma
wordpress
Componente
videowhisper-live-streaming-integration
Corregido en
6.2.1
Se ha identificado una vulnerabilidad de Acceso Arbitrario a Archivos (Path Traversal) en el plugin Broadcast Live Video. Esta falla permite a un atacante acceder a archivos sensibles en el servidor, comprometiendo la confidencialidad de los datos. La vulnerabilidad afecta a las versiones desde 0.0.0 hasta la 6.2, y se recomienda actualizar a la versión 6.2.1 para solucionar el problema.
La vulnerabilidad de Path Traversal en Broadcast Live Video permite a un atacante, mediante la manipulación de parámetros en las solicitudes HTTP, acceder a archivos fuera del directorio previsto. Esto podría incluir la lectura de archivos de configuración, código fuente, o incluso archivos del sistema operativo. Un atacante podría obtener información confidencial, como credenciales de base de datos o claves API, lo que podría conducir a una mayor escalada de privilegios y control sobre el servidor. El impacto potencial es significativo, ya que la exposición de información sensible podría comprometer la integridad y disponibilidad del sitio web y sus datos asociados.
Esta vulnerabilidad ha sido publicada el 25 de febrero de 2025. No se ha reportado su explotación activa en campañas conocidas, pero la naturaleza de Path Traversal la hace inherentemente explotable. La falta de autenticación requerida para explotar esta vulnerabilidad aumenta su riesgo. Se recomienda monitorear activamente los sistemas afectados en busca de signos de intrusión.
WordPress websites utilizing the Broadcast Live Video plugin, particularly those running older versions (0.0.0 - 6.2), are at risk. Shared hosting environments where WordPress installations have limited file system access controls are also at increased risk, as an attacker gaining access to one site could potentially exploit this vulnerability to access files on other sites hosted on the same server.
• wordpress / composer / npm:
grep -r "../" /var/www/html/videowhisper-live-streaming-integration/*• generic web:
curl -I 'https://your-wordpress-site.com/videowhisper-live-streaming-integration/../../../../etc/passwd' # Check for file disclosuredisclosure
Estado del Exploit
EPSS
0.19% (41% percentil)
CISA SSVC
Vector CVSS
La solución principal es actualizar el plugin Broadcast Live Video a la versión 6.2.1, que incluye la corrección para esta vulnerabilidad. Si la actualización no es inmediatamente posible, se recomienda implementar medidas de mitigación temporales. Esto podría incluir la restricción del acceso al directorio raíz del servidor a través de reglas de firewall o WAF (Web Application Firewall). Además, se pueden implementar reglas de seguridad en el servidor web para bloquear solicitudes que contengan secuencias de caracteres sospechosas, como '..' o '/'. Después de la actualización, verifique que la vulnerabilidad ha sido efectivamente mitigada intentando acceder a archivos fuera del directorio previsto y confirmando que la solicitud es rechazada.
Actualice el plugin 'Broadcast Live Video' a la última versión disponible para solucionar la vulnerabilidad de recorrido de directorio. Verifique la página del plugin en WordPress.org para obtener la versión más reciente y las instrucciones de actualización. Asegúrese de realizar una copia de seguridad de su sitio web antes de actualizar cualquier plugin.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2025-26753 is a HIGH severity vulnerability allowing attackers to access files on a WordPress server through the Broadcast Live Video plugin. It affects versions 0.0.0–6.2 and has a CVSS score of 7.5.
If you are using Broadcast Live Video versions 0.0.0 through 6.2 on your WordPress site, you are potentially affected by this vulnerability. Check your plugin version immediately.
Upgrade the Broadcast Live Video plugin to version 6.2.1 or later to resolve this Arbitrary File Access vulnerability. Consider WAF rules as a temporary workaround if immediate upgrade is not possible.
As of now, there is no confirmed evidence of active exploitation, but the vulnerability's nature makes it a potential target. Monitor your systems closely.
Refer to the vendor's official website or WordPress plugin repository for the latest advisory and release notes regarding CVE-2025-26753.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.