Plateforme
wordpress
Composant
videowhisper-live-streaming-integration
Corrigé dans
6.2.1
La vulnérabilité CVE-2025-26753 concerne un défaut d'accès arbitraire de fichiers (Path Traversal) dans le plugin Broadcast Live Video. Cette faille permet à un attaquant de contourner les restrictions de répertoire et d'accéder à des fichiers sensibles sur le serveur. Elle affecte les versions de Broadcast Live Video comprises entre 0.0.0 et 6.2, et une correction est disponible dans la version 6.2.1.
Un attaquant exploitant cette vulnérabilité peut potentiellement lire des fichiers arbitraires sur le serveur hébergeant le plugin Broadcast Live Video. Cela inclut des fichiers de configuration, des données sensibles des utilisateurs, ou même des fichiers du code source de l'application. L'accès à ces fichiers peut permettre à l'attaquant de compromettre davantage le système, d'obtenir des informations confidentielles, ou de modifier des données. Bien qu'il n'y ait pas de cas d'exploitation publique connus similaires à Log4Shell, la nature de la vulnérabilité Path Traversal la rend potentiellement exploitable par des acteurs malveillants.
La vulnérabilité CVE-2025-26753 a été publiée le 25 février 2025. Il n'y a pas d'indication d'une présence sur le KEV (CISA Known Exploited Vulnerabilities) à ce jour. La probabilité d'exploitation est considérée comme moyenne en raison de la nature courante des attaques Path Traversal et de la disponibilité d'outils automatisés pour les exploiter. Aucun proof-of-concept public n'est actuellement disponible, mais la vulnérabilité est susceptible d'être ciblée par des acteurs malveillants.
WordPress websites utilizing the Broadcast Live Video plugin, particularly those running older versions (0.0.0 - 6.2), are at risk. Shared hosting environments where WordPress installations have limited file system access controls are also at increased risk, as an attacker gaining access to one site could potentially exploit this vulnerability to access files on other sites hosted on the same server.
• wordpress / composer / npm:
grep -r "../" /var/www/html/videowhisper-live-streaming-integration/*• generic web:
curl -I 'https://your-wordpress-site.com/videowhisper-live-streaming-integration/../../../../etc/passwd' # Check for file disclosuredisclosure
Statut de l'Exploit
EPSS
0.19% (percentile 41%)
CISA SSVC
Vecteur CVSS
La mitigation principale consiste à mettre à jour Broadcast Live Video vers la version 6.2.1 ou supérieure, qui corrige cette vulnérabilité. Si la mise à jour n'est pas immédiatement possible, envisagez de restreindre l'accès au serveur via un pare-feu ou un proxy inverse, en limitant l'accès aux fichiers et répertoires sensibles. Des règles WAF (Web Application Firewall) peuvent être configurées pour bloquer les requêtes contenant des séquences de caractères typiques des attaques Path Traversal (../, ..\). Vérifiez après la mise à jour que l'accès aux fichiers sensibles est correctement restreint en effectuant des tests d'accès non autorisés.
Actualice el plugin 'Broadcast Live Video' a la última versión disponible para solucionar la vulnerabilidad de recorrido de directorio. Verifique la página del plugin en WordPress.org para obtener la versión más reciente y las instrucciones de actualización. Asegúrese de realizar una copia de seguridad de su sitio web antes de actualizar cualquier plugin.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
CVE-2025-26753 is a HIGH severity vulnerability allowing attackers to access files on a WordPress server through the Broadcast Live Video plugin. It affects versions 0.0.0–6.2 and has a CVSS score of 7.5.
If you are using Broadcast Live Video versions 0.0.0 through 6.2 on your WordPress site, you are potentially affected by this vulnerability. Check your plugin version immediately.
Upgrade the Broadcast Live Video plugin to version 6.2.1 or later to resolve this Arbitrary File Access vulnerability. Consider WAF rules as a temporary workaround if immediate upgrade is not possible.
As of now, there is no confirmed evidence of active exploitation, but the vulnerability's nature makes it a potential target. Monitor your systems closely.
Refer to the vendor's official website or WordPress plugin repository for the latest advisory and release notes regarding CVE-2025-26753.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.