Plataforma
wordpress
Componente
ppv-live-webcams
Corregido en
7.3.24
La vulnerabilidad CVE-2025-62959 es una falla de Inclusión de Código Remoto (RCE) identificada en el software Paid Videochat Turnkey Site. Esta falla permite a un atacante ejecutar código arbitrario en el servidor, comprometiendo la confidencialidad, integridad y disponibilidad del sistema. Afecta a las versiones desde 0.0.0 hasta la 7.3.23, siendo resuelta en la versión 7.3.24.
La ejecución de código arbitrario es el impacto más grave de esta vulnerabilidad. Un atacante podría, por ejemplo, instalar malware, robar datos sensibles (como credenciales de usuarios, información financiera o contenido multimedia), modificar archivos del sistema o incluso tomar el control completo del servidor. La posibilidad de Inclusión de Código Remoto (RCE) otorga al atacante un control significativo sobre el sistema afectado, lo que podría resultar en una brecha de seguridad de gran magnitud. La naturaleza de este tipo de vulnerabilidad, similar a patrones de explotación de RCE, implica un alto riesgo de ser explotada rápidamente una vez que se hace pública.
La vulnerabilidad CVE-2025-62959 fue publicada el 27 de octubre de 2025. No se ha confirmado su inclusión en el KEV de CISA, pero dada su severidad (CVSS 9.1), es probable que sea evaluada para su inclusión. La disponibilidad de un Proof of Concept (PoC) público podría acelerar su explotación. Se recomienda monitorear fuentes de información sobre seguridad para detectar posibles campañas de explotación.
Organizations running Paid Videochat Turnkey Site, particularly those hosting the software on shared hosting environments or with limited security controls, are at significant risk. Legacy configurations with outdated PHP versions or permissive file permissions exacerbate the vulnerability. Sites utilizing older versions of WordPress with unpatched plugins could also be indirectly affected.
• wordpress:
grep -r "include($_GET['file']);" /var/www/html/ppv-live-webcams/*• generic web:
curl -I http://your-site.com/ppv-live-webcams/?file=../../../../etc/passwd• linux / server:
journalctl -u apache2 -f | grep "include($_GET['file'])"• generic web:
Check access logs for unusual file requests targeting the /ppv-live-webcams/ directory.
• wordpress:
Use wp-cli to check for suspicious plugin modifications or added files within the ppv-live-webcams directory.
disclosure
patch
Estado del Exploit
EPSS
0.08% (25% percentil)
CISA SSVC
Vector CVSS
La mitigación principal es actualizar a la versión 7.3.24 o superior del software Paid Videochat Turnkey Site. Si la actualización no es inmediatamente posible, se recomienda implementar medidas de seguridad adicionales. Estas pueden incluir la restricción del acceso al sitio web a través de un firewall de aplicaciones web (WAF) con reglas para bloquear la inclusión de código malicioso. Además, se debe revisar la configuración del servidor web para asegurar que no se permita la ejecución de scripts en directorios sensibles. Monitorear los logs del servidor en busca de patrones sospechosos de inclusión de código también es crucial. Después de la actualización, confirmar la mitigación verificando que la funcionalidad vulnerable ya no sea accesible.
Actualizar a la versión 7.3.24, o una versión parcheada más reciente
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2025-62959 is a critical Remote Code Execution vulnerability in Paid Videochat Turnkey Site allowing attackers to execute arbitrary code via Remote Code Inclusion.
You are affected if you are running Paid Videochat Turnkey Site versions 0.0.0 through 7.3.23. Upgrade to 7.3.24 or later to mitigate the risk.
Upgrade to version 7.3.24 or later. As a temporary workaround, restrict file access and execution permissions within the web server configuration.
While there is no confirmed active exploitation at this time, the high CVSS score and ease of exploitation suggest it remains a significant risk.
Refer to the official Paid Videochat Turnkey Site security advisory for detailed information and updates regarding CVE-2025-62959.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.