Plateforme
wordpress
Composant
live-shopping-video-streams
Corrigé dans
2.2.1
Une vulnérabilité de type Cross-Site Request Forgery (CSRF) a été découverte dans le plugin Live Shopping & Shoppable Videos For WooCommerce de Channelize.io. Cette faille permet à un attaquant d'effectuer des actions non autorisées au nom d'un utilisateur authentifié, potentiellement compromettant des données ou des fonctionnalités du site. Les versions concernées sont celles comprises entre 0.0.0 et 2.2.0 incluses. Une solution de correctif est disponible.
L'exploitation réussie de cette vulnérabilité CSRF peut permettre à un attaquant de modifier des paramètres de configuration, de publier du contenu non autorisé, ou même de compromettre des données sensibles associées aux flux vidéo et aux fonctionnalités de shopping en direct. Un attaquant pourrait, par exemple, modifier les prix des produits, ajouter des liens malveillants aux flux vidéo, ou même prendre le contrôle de certains aspects de la gestion des vidéos. Le risque est accru si le site web est largement utilisé et que les utilisateurs sont nombreux et peu conscients des risques liés aux attaques CSRF.
Il n'y a pas d'informations disponibles concernant une exploitation active de cette vulnérabilité. La vulnérabilité a été publiée le 31 décembre 2025. Aucun Proof of Concept (PoC) public n'est actuellement connu. L'évaluation de la probabilité d'exploitation est considérée comme modérée en raison de la nature de la vulnérabilité CSRF et de sa potentielle facilité d'exploitation.
WooCommerce store owners using the Live Shopping & Shoppable Videos For WooCommerce plugin, particularly those running versions 0.0.0 through 2.2.0, are at risk. Shared hosting environments where plugin updates are managed by the hosting provider may be particularly vulnerable if they haven't applied the update.
• wordpress / composer / npm:
grep -r 'Channelize.io Team Live Shopping & Shoppable Videos For WooCommerce' /wp-content/plugins/
wp plugin list | grep 'Live Shopping & Shoppable Videos'• generic web:
curl -I https://your-wordpress-site.com/wp-content/plugins/live-shopping-video-streams/ | grep -i 'channelize.io'disclosure
Statut de l'Exploit
EPSS
0.02% (percentile 5%)
CISA SSVC
Vecteur CVSS
La solution la plus efficace consiste à mettre à jour le plugin Live Shopping & Shoppable Videos For WooCommerce vers la dernière version corrigée, dès qu'elle est disponible. En attendant, des mesures d'atténuation peuvent être mises en place, telles que l'implémentation de tokens CSRF sur les formulaires critiques. L'utilisation d'un Web Application Firewall (WAF) peut également aider à bloquer les requêtes CSRF malveillantes. Vérifiez après la mise à jour que les formulaires critiques utilisent des tokens CSRF valides.
Aucun correctif connu n'est disponible. Veuillez examiner en détail les informations relatives à la vulnérabilité et mettre en œuvre des mesures d'atténuation en fonction de la tolérance au risque de votre organisation. Il peut être préférable de désinstaller le logiciel affecté et de trouver un remplacement.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
CVE-2025-62080 décrit une vulnérabilité CSRF (Cross-Site Request Forgery) dans le plugin Live Shopping & Shoppable Videos For WooCommerce, permettant à un attaquant d'effectuer des actions non autorisées.
Si vous utilisez le plugin Live Shopping & Shoppable Videos For WooCommerce dans les versions de 0.0.0 à 2.2.0, vous êtes potentiellement affecté par cette vulnérabilité.
La solution recommandée est de mettre à jour le plugin vers la dernière version corrigée. En attendant, appliquez des mesures d'atténuation comme l'utilisation de tokens CSRF.
À l'heure actuelle, il n'y a aucune indication d'exploitation active de cette vulnérabilité, mais la probabilité reste modérée.
Consultez le site web de Channelize.io ou leurs canaux de communication habituels pour obtenir l'avis officiel concernant cette vulnérabilité.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.