Plataforma
wordpress
Componente
ppv-live-webcams
Corregido en
7.3.21
La vulnerabilidad CVE-2025-8899 afecta al plugin Paid Videochat Turnkey Site – HTML5 PPV Live Webcams para WordPress. Esta falla de Escalada de Privilegios permite a atacantes autenticados con roles de Autor o superiores crear cuentas de administrador, comprometiendo la seguridad del sitio. Las versiones afectadas son desde la 0.0.0 hasta la 7.3.20. Se ha publicado una actualización a la versión 7.3.21 para solucionar este problema.
Un atacante que explote esta vulnerabilidad podría obtener acceso de administrador completo al sitio WordPress. Esto les permitiría modificar cualquier dato, instalar malware, robar información confidencial de usuarios, o incluso tomar el control total del servidor. La capacidad de crear cuentas de administrador sin la debida autorización representa un riesgo significativo para la integridad y confidencialidad de los datos. La vulnerabilidad radica en la función videowhisperregisterform(), que no valida adecuadamente los roles de usuario durante el registro, permitiendo la asignación de roles de administrador a usuarios no autorizados.
La vulnerabilidad CVE-2025-8899 fue publicada el 2026-03-07. No se ha confirmado la explotación activa de esta vulnerabilidad en entornos reales, pero la facilidad de explotación y el impacto potencial la convierten en un objetivo atractivo para los atacantes. Se recomienda monitorear las fuentes de inteligencia de amenazas para detectar cualquier indicio de actividad maliciosa relacionada con esta vulnerabilidad.
WordPress sites utilizing the Paid Videochat Turnkey Site – HTML5 PPV Live Webcams plugin, particularly those with multiple users possessing Author or higher roles, are at significant risk. Shared hosting environments where plugin updates are managed centrally are also vulnerable, as are sites with legacy configurations that may not enforce strict user role restrictions.
• wordpress / composer / npm:
grep -r 'videowhisper_register_form' /var/www/html/wp-content/plugins/• wordpress / composer / npm:
wp plugin list | grep videowhisper• wordpress / composer / npm:
wp plugin update videowhisperdisclosure
Estado del Exploit
EPSS
0.04% (12% percentil)
CISA SSVC
Vector CVSS
La mitigación principal es actualizar el plugin Paid Videochat Turnkey Site – HTML5 PPV Live Webcams a la versión 7.3.21 o superior. Si la actualización causa problemas de compatibilidad, considere realizar una copia de seguridad completa del sitio antes de aplicar la actualización. Como medida temporal, se puede restringir el acceso a la página de registro a usuarios con roles específicos, limitando la posibilidad de crear cuentas de administrador no autorizadas. Monitorear los registros del sitio en busca de intentos de creación de usuarios con roles de administrador también puede ayudar a detectar y prevenir ataques.
Actualizar a la versión 7.3.21, o una versión parcheada más reciente
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2025-8899 is a vulnerability in the Paid Videochat Turnkey Site WordPress plugin allowing authenticated users with Author access to escalate privileges and create administrator accounts.
If you are using the Paid Videochat Turnkey Site plugin in versions 0.0.0 through 7.3.20, you are potentially affected by this vulnerability.
Upgrade the Paid Videochat Turnkey Site plugin to version 7.3.21 or later to resolve the privilege escalation vulnerability.
While no active exploitation has been confirmed, the ease of exploitation makes it a potential target for attackers.
Refer to the plugin developer's website or WordPress plugin repository for the official advisory and update information.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.