Plateforme
wordpress
Composant
fwduvp
Corrigé dans
10.1.1
Une vulnérabilité de type Server-Side Request Forgery (SSRF) a été découverte dans FWDesign Ultimate Video Player. Cette faille permet à un attaquant de forcer le serveur à effectuer des requêtes vers des ressources internes, potentiellement sensibles. Elle affecte les versions du plugin de 0.0.0 à 10.1. Une version corrigée, 10.1.1, est désormais disponible.
L'exploitation réussie de cette vulnérabilité SSRF permet à un attaquant de contourner les contrôles de sécurité et d'accéder à des ressources normalement inaccessibles depuis l'extérieur du réseau. Cela peut inclure l'accès à des fichiers de configuration internes, des métadonnées sensibles ou même d'autres services internes. Un attaquant pourrait également utiliser cette vulnérabilité pour scanner le réseau interne à la recherche d'autres vulnérabilités ou pour lancer des attaques contre d'autres systèmes. Le risque est exacerbé si le plugin est utilisé dans des environnements partagés ou avec des configurations incorrectes.
Cette vulnérabilité a été publiée le 9 septembre 2025. Il n'y a pas d'indications d'exploitation active à ce jour. La probabilité d'exploitation est considérée comme moyenne en raison de la nature de la vulnérabilité SSRF et de la disponibilité d'outils permettant de l'exploiter. Il est conseillé de surveiller les sources d'informations sur les vulnérabilités pour détecter toute nouvelle activité.
WordPress websites utilizing the Ultimate Video Player plugin, particularly those with internal services accessible via HTTP/HTTPS, are at risk. Shared hosting environments where plugin updates are managed centrally are also vulnerable, as are sites running older, unpatched versions of the plugin.
• wordpress / composer / npm:
grep -r 'http://' /var/www/html/wp-content/plugins/ultimate-video-player/*• generic web:
curl -I <wordpress_site>/wp-content/plugins/ultimate-video-player/ # Check for unusual headersdisclosure
Statut de l'Exploit
EPSS
0.04% (percentile 10%)
CISA SSVC
Vecteur CVSS
La mitigation principale consiste à mettre à jour Ultimate Video Player vers la version 10.1.1 ou supérieure. En attendant la mise à jour, il est possible de limiter l'impact en configurant un pare-feu applicatif web (WAF) pour bloquer les requêtes suspectes. Il est également recommandé de restreindre l'accès au plugin aux utilisateurs autorisés et de surveiller attentivement les journaux du serveur pour détecter toute activité suspecte. Vérifiez après la mise à jour que le plugin fonctionne correctement et qu'il n'y a pas de régressions.
Mettez à jour le plugin Ultimate Video Player vers la dernière version disponible pour atténuer la vulnérabilité SSRF. Vérifiez les mises à jour dans le dépôt WordPress ou sur le site web du développeur. Implémentez des mesures de sécurité supplémentaires, telles que la validation des entrées et la restriction d'accès aux ressources sensibles.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
CVE-2025-49430 décrit une vulnérabilité SSRF dans le plugin Ultimate Video Player, permettant à un attaquant de forcer le serveur à effectuer des requêtes vers des ressources internes.
Oui, si vous utilisez Ultimate Video Player dans les versions de 0.0.0 à 10.1, vous êtes affecté par cette vulnérabilité.
Mettez à jour Ultimate Video Player vers la version 10.1.1 ou supérieure pour corriger cette vulnérabilité.
À l'heure actuelle, il n'y a pas d'indications d'exploitation active, mais la probabilité est considérée comme moyenne.
Consultez le site web de FWDesign ou les canaux de communication habituels pour obtenir l'avis officiel concernant cette vulnérabilité.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.