Platform
wordpress
Component
videowhisper-live-streaming-integration
Opgelost in
6.2.1
CVE-2025-26752 beschrijft een kwetsbaarheid van het type Path Traversal in de Broadcast Live Video plugin. Deze kwetsbaarheid stelt een aanvaller in staat om via manipulatie van paden toegang te krijgen tot willekeurige bestanden op de server. De kwetsbaarheid treft versies van Broadcast Live Video tussen 0.0.0 en 6.2 inclusief. Een fix is beschikbaar in versie 6.2.1.
Deze Path Traversal kwetsbaarheid in Broadcast Live Video stelt een aanvaller in staat om gevoelige bestanden op de webserver te benaderen, zoals configuratiebestanden, database credentials of zelfs broncode. Afhankelijk van de bestanden die toegankelijk zijn, kan de aanvaller de controle over de website overnemen, gevoelige informatie stelen of malware installeren. De impact kan aanzienlijk zijn, vooral als de server wordt gebruikt voor het hosten van kritieke data of applicaties. Een succesvolle exploitatie kan leiden tot een compromittering van de gehele WordPress omgeving.
Deze kwetsbaarheid is openbaar bekend gemaakt op 2025-02-25. Er is momenteel geen informatie beschikbaar over actieve exploitatiecampagnes. Er zijn geen publieke Proof-of-Concept (POC) exploits bekend, maar de Path Traversal aard van de kwetsbaarheid maakt het relatief eenvoudig te exploiteren. De kwetsbaarheid is opgenomen in het CISA KEV catalogus (KEV status onbekend).
WordPress websites utilizing the Broadcast Live Video plugin, particularly those running older versions (0.0.0–6.2), are at significant risk. Shared hosting environments where users have limited control over plugin updates are also particularly vulnerable. Sites with sensitive data stored on the server are at higher risk of data compromise.
• wordpress / composer / npm:
grep -r "../" /var/www/html/videowhisper-live-streaming-integration/*• generic web:
curl -I 'http://your-wordpress-site.com/videowhisper-live-streaming-integration/../../../../etc/passwd' # Check for file disclosuredisclosure
Exploit Status
EPSS
0.19% (41% percentiel)
CISA SSVC
CVSS-vector
De primaire mitigatie voor CVE-2025-26752 is het upgraden van de Broadcast Live Video plugin naar versie 6.2.1 of hoger. Indien een directe upgrade niet mogelijk is, overweeg dan tijdelijke maatregelen zoals het beperken van de toegankelijkheid tot de videowhisper-live-streaming-integration directory via een Web Application Firewall (WAF) of proxy server. Controleer de bestandsrechten op de server om te zorgen dat alleen de webserver-gebruiker toegang heeft tot gevoelige bestanden. Na de upgrade, verifieer de fix door te proberen een bestand buiten de toegestane directory te benaderen via een padmanipulatie poging.
Actualice el plugin 'Broadcast Live Video' a la última versión disponible para solucionar la vulnerabilidad de recorrido de directorio. Verifique las actualizaciones disponibles en el panel de administración de WordPress o a través del repositorio de plugins de WordPress. Asegúrese de realizar una copia de seguridad completa de su sitio web antes de aplicar cualquier actualización.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
CVE-2025-26752 is a HIGH severity vulnerability in Broadcast Live Video allowing attackers to read arbitrary files due to improper path validation. It affects versions 0.0.0–6.2.
Yes, if you are using Broadcast Live Video versions 0.0.0 through 6.2, you are affected by this vulnerability and should upgrade immediately.
Upgrade the Broadcast Live Video plugin to version 6.2.1 or later. As a temporary workaround, implement a WAF rule to block path traversal attempts.
There is currently no evidence of active exploitation, but the ease of exploitation makes it a potential target.
Refer to the vendor's official website or WordPress plugin repository for the latest advisory and update information.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.