Plateforme
wordpress
Composant
fwdevp
Corrigé dans
10.0.1
Une vulnérabilité de traversal de chemin (Path Traversal) a été découverte dans le plugin Easy Video Player Wordpress & WooCommerce développé par FWDesign. Cette faille permet à un attaquant d'accéder à des fichiers arbitraires sur le serveur, compromettant potentiellement la confidentialité et l'intégrité des données. Elle affecte les versions du plugin allant de 0.0.0 à 10.0. Une version corrigée, 10.0.1, est désormais disponible.
L'exploitation réussie de cette vulnérabilité permet à un attaquant non authentifié de lire des fichiers sensibles situés en dehors du répertoire web prévu. Cela peut inclure des fichiers de configuration contenant des informations d'identification, des fichiers de logs contenant des données sensibles, ou même des fichiers système. L'attaquant pourrait potentiellement obtenir un accès complet au serveur, en fonction des permissions des fichiers accessibles. Bien que la description ne mentionne pas d'exploitation active, la nature de la vulnérabilité de traversal de chemin la rend facilement exploitable et potentiellement dangereuse, similaire à d'autres vulnérabilités de ce type qui ont conduit à des violations de données significatives.
Cette vulnérabilité a été rendue publique le 16 juillet 2025. Il n'y a pas d'indication d'une présence sur le KEV (CISA Known Exploited Vulnerabilities) à ce jour. La probabilité d'exploitation est considérée comme moyenne, compte tenu de la simplicité de la vulnérabilité de traversal de chemin et de la disponibilité potentielle de scripts d'exploitation. Aucun proof-of-concept public n'est actuellement connu, mais il est probable qu'un tel PoC apparaisse rapidement.
WordPress websites utilizing the Easy Video Player Wordpress & WooCommerce plugin, particularly those running older, unpatched versions (0.0.0–10.0), are at risk. Shared hosting environments where users have limited control over plugin updates are also particularly vulnerable.
• wordpress / composer / npm:
grep -r "../" /var/www/html/wp-content/plugins/easy-video-player-woocommerce/• generic web:
curl -I 'https://your-wordpress-site.com/wp-content/plugins/easy-video-player-woocommerce/../../../../etc/passwd' # Check for file disclosuredisclosure
Statut de l'Exploit
EPSS
0.08% (percentile 23%)
CISA SSVC
Vecteur CVSS
La mitigation la plus efficace consiste à mettre à jour le plugin Easy Video Player Wordpress & WooCommerce vers la version 10.0.1 ou supérieure. En attendant la mise à jour, il est possible de renforcer la sécurité en limitant les permissions d'accès aux fichiers et répertoires du serveur web. Il est également recommandé de configurer un pare-feu d'application web (WAF) pour bloquer les requêtes contenant des séquences de traversal de chemin, telles que '../'. Surveillez attentivement les logs du serveur web pour détecter des tentatives d'accès à des fichiers non autorisés.
Actualice el plugin Easy Video Player Wordpress & WooCommerce a la última versión disponible para solucionar la vulnerabilidad de recorrido de directorio. Verifique las actualizaciones en el panel de administración de WordPress o en el repositorio de plugins de WordPress. Asegúrese de realizar una copia de seguridad del sitio antes de actualizar.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
CVE-2025-28955 is a HIGH severity vulnerability in Easy Video Player Wordpress & WooCommerce allowing attackers to read arbitrary files via path traversal. It affects versions 0.0.0–10.0.
If you are using Easy Video Player Wordpress & WooCommerce versions 0.0.0 through 10.0, you are affected by this vulnerability.
Upgrade to version 10.0.1 or later to resolve the Arbitrary File Access vulnerability. Consider WAF rules as a temporary mitigation.
There is currently no evidence of active exploitation, but the vulnerability's nature makes it a potential target.
Refer to the FWDesign website and WordPress plugin repository for the official advisory and update information.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.