Plataforma
wordpress
Componente
live-shopping-video-streams
Corregido en
2.2.1
Se ha identificado una vulnerabilidad de Cross-Site Request Forgery (CSRF) en el plugin Live Shopping & Shoppable Videos For WooCommerce de Channelize.io. Esta vulnerabilidad permite a un atacante ejecutar acciones no autorizadas en nombre de un usuario autenticado, comprometiendo la integridad de los datos y la seguridad de las transacciones. Afecta a las versiones desde 0.0.0 hasta la 2.2.0. Se recomienda actualizar el plugin a la versión corregida lo antes posible.
La vulnerabilidad CSRF en Live Shopping & Shoppable Videos For WooCommerce permite a un atacante engañar a un usuario autenticado para que realice acciones no deseadas sin su conocimiento. Esto podría incluir la modificación de configuraciones del plugin, la creación de productos falsos, o incluso la realización de compras fraudulentas. El atacante necesita únicamente que la víctima visite una página web maliciosa que contenga el formulario CSRF. El impacto potencial es significativo, ya que un atacante podría comprometer la integridad de la tienda WooCommerce y robar información sensible de los clientes. La falta de protección CSRF adecuada es un error común en plugins de WordPress, y esta vulnerabilidad sigue esa tendencia.
La vulnerabilidad CSRF en Live Shopping & Shoppable Videos For WooCommerce no se encuentra en el KEV (CISA Known Exploited Vulnerabilities) al momento de esta redacción. La probabilidad de explotación se considera media, dado que las vulnerabilidades CSRF son relativamente fáciles de explotar y no requieren un alto nivel de habilidad técnica. No se han reportado públicamente Proof of Concepts (PoC) específicos para esta vulnerabilidad, pero la naturaleza general de CSRF implica que un PoC podría ser desarrollado rápidamente. La vulnerabilidad fue publicada el 31 de diciembre de 2025.
WooCommerce store owners using the Live Shopping & Shoppable Videos For WooCommerce plugin, particularly those running versions 0.0.0 through 2.2.0, are at risk. Shared hosting environments where plugin updates are managed by the hosting provider may be particularly vulnerable if they haven't applied the update.
• wordpress / composer / npm:
grep -r 'Channelize.io Team Live Shopping & Shoppable Videos For WooCommerce' /wp-content/plugins/
wp plugin list | grep 'Live Shopping & Shoppable Videos'• generic web:
curl -I https://your-wordpress-site.com/wp-content/plugins/live-shopping-video-streams/ | grep -i 'channelize.io'disclosure
Estado del Exploit
EPSS
0.02% (5% percentil)
CISA SSVC
Vector CVSS
La mitigación principal es actualizar el plugin Live Shopping & Shoppable Videos For WooCommerce a la versión corregida, una vez que esté disponible. Mientras tanto, se pueden implementar medidas de mitigación adicionales. Implementar una política de SameSite Cookies para las cookies de sesión de WordPress puede ayudar a prevenir ataques CSRF. Además, se recomienda implementar un sistema de verificación de tokens CSRF para todas las acciones sensibles dentro del plugin. Si la actualización del plugin no es posible de inmediato, considere deshabilitar temporalmente las funciones más críticas del plugin hasta que se pueda aplicar una solución. Después de la actualización, confirme que la vulnerabilidad ha sido resuelta revisando los logs del servidor en busca de intentos de ataque CSRF.
No se conoce ningún parche disponible. Por favor, revise los detalles de la vulnerabilidad en profundidad y aplique mitigaciones basadas en la tolerancia al riesgo de su organización. Puede ser mejor desinstalar el software afectado y buscar un reemplazo.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2025-62080 es una vulnerabilidad de Cross-Site Request Forgery (CSRF) en el plugin Live Shopping & Shoppable Videos For WooCommerce que permite a atacantes realizar acciones no autorizadas.
Si está utilizando Live Shopping & Shoppable Videos For WooCommerce en versiones desde 0.0.0 hasta 2.2.0, es vulnerable a esta vulnerabilidad.
Actualice el plugin a la versión corregida tan pronto como esté disponible. Implemente medidas de mitigación como SameSite Cookies y verificación de tokens CSRF.
No se han reportado explotaciones activas conocidas, pero la naturaleza de CSRF implica una probabilidad media de explotación.
Consulte el sitio web de Channelize.io o el repositorio del plugin en WordPress.org para obtener la información más reciente sobre la vulnerabilidad y la solución.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.