プラットフォーム
wordpress
コンポーネント
videowhisper-live-streaming-integration
修正版
6.2.1
CVE-2025-26752は、Broadcast Live Videoにおいてパス・トラバーサル脆弱性が存在します。この脆弱性は、攻撃者が本来アクセスできないファイルにアクセスすることを可能にし、機密情報の漏洩やシステムの改ざんにつながる可能性があります。影響を受けるバージョンは0.0.0から6.2までです。バージョン6.2.1へのアップデートで脆弱性が修正されています。
このパス・トラバーサル脆弱性を悪用されると、攻撃者はBroadcast Live Videoのインストールディレクトリ外にある任意のファイルにアクセスできるようになります。例えば、設定ファイルやログファイルから機密情報(APIキー、データベース接続情報など)を窃取したり、Webサーバーのルートディレクトリにある重要なファイルを改ざんしたりすることが考えられます。攻撃者は、この脆弱性を利用して、システム全体へのアクセス権を取得し、さらなる攻撃を実行する可能性があります。類似の脆弱性は、Webアプリケーションにおいて頻繁に確認されており、適切なアクセス制限が実施されていない場合に悪用されるリスクがあります。
この脆弱性は、2025年2月25日に公開されました。現時点では、KEV(Known Exploited Vulnerabilities)には登録されていません。EPSS(Exploit Prediction Score System)のスコアは、公開情報が少ないため評価が保留されています。公的なPoC(Proof of Concept)は確認されていませんが、パス・トラバーサル脆弱性は比較的悪用が容易であるため、今後悪用される可能性は否定できません。
WordPress websites utilizing the Broadcast Live Video plugin, particularly those running older versions (0.0.0–6.2), are at significant risk. Shared hosting environments where users have limited control over plugin updates are also particularly vulnerable. Sites with sensitive data stored on the server are at higher risk of data compromise.
• wordpress / composer / npm:
grep -r "../" /var/www/html/videowhisper-live-streaming-integration/*• generic web:
curl -I 'http://your-wordpress-site.com/videowhisper-live-streaming-integration/../../../../etc/passwd' # Check for file disclosuredisclosure
エクスプロイト状況
EPSS
0.19% (41% パーセンタイル)
CISA SSVC
CVSS ベクトル
まず、Broadcast Live Videoをバージョン6.2.1にアップデートすることが最も効果的な対策です。アップデートが利用できない場合、Webサーバーの設定でBroadcast Live Videoのディレクトリへのアクセスを制限する、またはファイルアクセス権限を適切に設定することで、攻撃の影響を軽減できます。WAF(Web Application Firewall)を導入し、パス・トラバーサル攻撃を検知・防御するルールを設定することも有効です。アップデート後、ファイルアクセス権限を確認し、不要なファイルへのアクセスを制限することで、セキュリティを強化できます。
Actualice el plugin 'Broadcast Live Video' a la última versión disponible para solucionar la vulnerabilidad de recorrido de directorio. Verifique las actualizaciones disponibles en el panel de administración de WordPress o a través del repositorio de plugins de WordPress. Asegúrese de realizar una copia de seguridad completa de su sitio web antes de aplicar cualquier actualización.
脆弱性分析と重要アラートをメールでお届けします。
CVE-2025-26752は、Broadcast Live Videoのバージョン0.0.0~6.2において、攻撃者が本来アクセスできないファイルにアクセスできるパス・トラバーサル脆弱性です。
Broadcast Live Videoのバージョンが0.0.0から6.2までの場合は、この脆弱性に影響を受けます。バージョン6.2.1にアップデートすることで修正されます。
Broadcast Live Videoをバージョン6.2.1にアップデートすることで脆弱性を修正できます。アップデートが利用できない場合は、Webサーバーの設定でアクセス制限を強化してください。
現時点では、CVE-2025-26752の悪用事例は確認されていませんが、パス・トラバーサル脆弱性は比較的悪用が容易であるため、今後悪用される可能性は否定できません。
Broadcast Live Videoの公式アドバイザリは、通常、開発元のウェブサイトまたはGitHubリポジトリで公開されます。詳細については、開発元にお問い合わせください。
依存関係ファイルをアップロードすれば、このCVEや他のCVEがあなたに影響するか即座にわかります。