Plataforma
wordpress
Componente
fwdevp
Corregido en
10.0.1
Se ha identificado una vulnerabilidad de Path Traversal en el plugin Easy Video Player para WordPress & WooCommerce. Esta vulnerabilidad permite a un atacante acceder a archivos arbitrarios en el servidor, comprometiendo la confidencialidad de los datos. Afecta a las versiones desde 0.0.0 hasta la 10.0, inclusive. Una actualización a la versión 10.0.1 soluciona este problema.
La vulnerabilidad de Path Traversal permite a un atacante, mediante la manipulación de parámetros en las solicitudes HTTP, acceder a archivos fuera del directorio previsto. Esto podría incluir archivos de configuración sensibles, código fuente o información personal de los usuarios. Un atacante podría, por ejemplo, leer archivos de log, obtener credenciales de bases de datos o incluso ejecutar código malicioso si el servidor está mal configurado. El impacto potencial es alto, ya que la exposición de información confidencial puede llevar a la pérdida de datos, daño a la reputación y posibles sanciones regulatorias.
Esta vulnerabilidad ha sido publicada públicamente el 16 de julio de 2025. No se ha reportado su inclusión en el KEV de CISA ni la confirmación de explotación activa en campañas conocidas. La disponibilidad de un PoC público podría facilitar su explotación por parte de atacantes.
WordPress websites utilizing the Easy Video Player Wordpress & WooCommerce plugin, particularly those running older, unpatched versions (0.0.0–10.0), are at risk. Shared hosting environments where users have limited control over plugin updates are also particularly vulnerable.
• wordpress / composer / npm:
grep -r "../" /var/www/html/wp-content/plugins/easy-video-player-woocommerce/• generic web:
curl -I 'https://your-wordpress-site.com/wp-content/plugins/easy-video-player-woocommerce/../../../../etc/passwd' # Check for file disclosuredisclosure
Estado del Exploit
EPSS
0.08% (23% percentil)
CISA SSVC
Vector CVSS
La mitigación principal es actualizar el plugin Easy Video Player a la versión 10.0.1 o superior. Si la actualización no es posible de inmediato, se recomienda implementar medidas de seguridad adicionales, como restringir el acceso al directorio raíz del servidor web a través de reglas de firewall o WAF. Además, revise los permisos de los archivos y directorios para asegurar que solo los usuarios autorizados tengan acceso. Monitoree los logs del servidor en busca de patrones de acceso inusuales que puedan indicar un intento de explotación.
Actualice el plugin Easy Video Player Wordpress & WooCommerce a la última versión disponible para solucionar la vulnerabilidad de recorrido de directorio. Verifique las actualizaciones en el panel de administración de WordPress o en el repositorio de plugins de WordPress. Asegúrese de realizar una copia de seguridad del sitio antes de actualizar.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2025-28955 is a HIGH severity vulnerability in Easy Video Player Wordpress & WooCommerce allowing attackers to read arbitrary files via path traversal. It affects versions 0.0.0–10.0.
If you are using Easy Video Player Wordpress & WooCommerce versions 0.0.0 through 10.0, you are affected by this vulnerability.
Upgrade to version 10.0.1 or later to resolve the Arbitrary File Access vulnerability. Consider WAF rules as a temporary mitigation.
There is currently no evidence of active exploitation, but the vulnerability's nature makes it a potential target.
Refer to the FWDesign website and WordPress plugin repository for the official advisory and update information.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.