Plateforme
wordpress
Composant
videowhisper-live-streaming-integration
Corrigé dans
6.2.1
La vulnérabilité CVE-2025-26752 représente un défaut d'accès arbitraire de fichiers (Path Traversal) au sein du plugin Broadcast Live Video. Cette faille permet à un attaquant de contourner les restrictions de répertoire et d'accéder à des fichiers non autorisés sur le serveur. Elle affecte les versions de Broadcast Live Video comprises entre 0.0.0 et 6.2, et une correction est disponible dans la version 6.2.1.
Un attaquant exploitant cette vulnérabilité peut potentiellement lire des fichiers sensibles présents sur le serveur web hébergeant le plugin Broadcast Live Video. Cela inclut des fichiers de configuration, des données sensibles des utilisateurs, ou même des fichiers du système d'exploitation. L'accès à ces informations pourrait permettre à l'attaquant de compromettre davantage le système, d'obtenir des informations confidentielles, ou de modifier des fichiers critiques. Bien qu'il n'y ait pas de rapports d'exploitation publique à ce jour, la nature de la vulnérabilité Path Traversal la rend potentiellement exploitable et constitue un risque significatif.
La vulnérabilité CVE-2025-26752 a été publiée le 25 février 2025. Il n'y a pas d'indication d'exploitation active à ce jour, ni d'ajout au catalogue KEV de CISA. Aucun Proof of Concept (PoC) public n'est connu à la date de rédaction. La probabilité d'exploitation est considérée comme modérée en raison de la nature de la vulnérabilité Path Traversal.
WordPress websites utilizing the Broadcast Live Video plugin, particularly those running older versions (0.0.0–6.2), are at significant risk. Shared hosting environments where users have limited control over plugin updates are also particularly vulnerable. Sites with sensitive data stored on the server are at higher risk of data compromise.
• wordpress / composer / npm:
grep -r "../" /var/www/html/videowhisper-live-streaming-integration/*• generic web:
curl -I 'http://your-wordpress-site.com/videowhisper-live-streaming-integration/../../../../etc/passwd' # Check for file disclosuredisclosure
Statut de l'Exploit
EPSS
0.19% (percentile 41%)
CISA SSVC
Vecteur CVSS
La mitigation principale consiste à mettre à jour Broadcast Live Video vers la version 6.2.1 ou supérieure, qui corrige cette vulnérabilité. Si la mise à jour n'est pas immédiatement possible, des mesures temporaires peuvent être prises. Il est recommandé de restreindre les permissions d'accès au répertoire du plugin et de désactiver l'accès direct aux fichiers sensibles. L'utilisation d'un Web Application Firewall (WAF) peut également aider à bloquer les requêtes malveillantes exploitant cette faille. Après la mise à jour, vérifiez l'intégrité des fichiers du plugin et assurez-vous qu'il n'y a pas de fichiers suspects.
Actualice el plugin 'Broadcast Live Video' a la última versión disponible para solucionar la vulnerabilidad de recorrido de directorio. Verifique las actualizaciones disponibles en el panel de administración de WordPress o a través del repositorio de plugins de WordPress. Asegúrese de realizar una copia de seguridad completa de su sitio web antes de aplicar cualquier actualización.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
CVE-2025-26752 is a HIGH severity vulnerability in Broadcast Live Video allowing attackers to read arbitrary files due to improper path validation. It affects versions 0.0.0–6.2.
Yes, if you are using Broadcast Live Video versions 0.0.0 through 6.2, you are affected by this vulnerability and should upgrade immediately.
Upgrade the Broadcast Live Video plugin to version 6.2.1 or later. As a temporary workaround, implement a WAF rule to block path traversal attempts.
There is currently no evidence of active exploitation, but the ease of exploitation makes it a potential target.
Refer to the vendor's official website or WordPress plugin repository for the latest advisory and update information.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.