Platform
wordpress
Component
fwduvp
Opgelost in
10.1.1
CVE-2025-49430 beschrijft een Server-Side Request Forgery (SSRF) kwetsbaarheid in FWDesign Ultimate Video Player. Deze kwetsbaarheid stelt een aanvaller in staat om verzoeken te initiëren vanuit de server, waardoor mogelijk toegang tot interne resources verkregen kan worden. De kwetsbaarheid treft versies van Ultimate Video Player van 0.0.0 tot en met 10.1. Een patch is beschikbaar in versie 10.1.1.
Een succesvolle exploitatie van deze SSRF-kwetsbaarheid kan aanzienlijke gevolgen hebben. Een aanvaller kan interne services en databases benaderen die normaal gesproken niet toegankelijk zijn vanaf het internet. Dit kan leiden tot data-exfiltratie, configuratie-wijzigingen of zelfs de compromittering van de volledige WordPress-installatie. De impact is vergelijkbaar met scenario's waarbij een aanvaller via een webapplicatie toegang krijgt tot interne netwerkbronnen, wat kan leiden tot verdere lateral movement binnen de omgeving. De blast radius is afhankelijk van de interne resources die toegankelijk zijn via de SSRF.
Op het moment van publicatie (2025-09-09) is deze kwetsbaarheid nog niet opgenomen in de CISA KEV catalogus. Er zijn geen publieke proof-of-concept exploits bekend, maar de SSRF-natuur van de kwetsbaarheid maakt het waarschijnlijk dat er in de toekomst exploits beschikbaar komen. De CVSS-score van 7.2 (HIGH) duidt op een significant risico.
WordPress websites utilizing the Ultimate Video Player plugin, particularly those with internal services accessible via HTTP/HTTPS, are at risk. Shared hosting environments where plugin updates are managed centrally are also vulnerable, as are sites running older, unpatched versions of the plugin.
• wordpress / composer / npm:
grep -r 'http://' /var/www/html/wp-content/plugins/ultimate-video-player/*• generic web:
curl -I <wordpress_site>/wp-content/plugins/ultimate-video-player/ # Check for unusual headersdisclosure
Exploit Status
EPSS
0.04% (10% percentiel)
CISA SSVC
CVSS-vector
De primaire mitigatie voor CVE-2025-49430 is het updaten van Ultimate Video Player naar versie 10.1.1 of hoger. Indien een directe upgrade niet mogelijk is, overweeg dan tijdelijke maatregelen zoals het implementeren van Web Application Firewall (WAF) regels om SSRF-aanvallen te blokkeren. Configureer de WAF om verzoeken naar interne IP-adressen of gevoelige endpoints te detecteren en te blokkeren. Controleer ook de configuratie van de WordPress-server om te zorgen voor een minimale set aan toegestane URL's. Na de upgrade, verifieer de fix door te proberen een verzoek naar een interne resource te sturen via de Ultimate Video Player en controleer of dit wordt geblokkeerd.
Werk de Ultimate Video Player plugin bij naar de laatste beschikbare versie om de SSRF-vulnerabiliteit te mitigeren. Controleer de updates in de WordPress repository of op de website van de ontwikkelaar. Implementeer aanvullende beveiligingsmaatregelen, zoals invoervalidatie en het beperken van de toegang tot gevoelige resources.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
CVE-2025-49430 is een Server-Side Request Forgery (SSRF) kwetsbaarheid in FWDesign Ultimate Video Player, waardoor een aanvaller interne resources kan benaderen.
Ja, als u versie 0.0.0 t/m 10.1 van Ultimate Video Player gebruikt, bent u kwetsbaar voor deze SSRF-kwetsbaarheid.
Upgrade Ultimate Video Player naar versie 10.1.1 of hoger om deze kwetsbaarheid te verhelpen.
Op dit moment zijn er geen bevestigde gevallen van actieve exploitatie bekend, maar de SSRF-natuur van de kwetsbaarheid maakt het waarschijnlijk dat dit in de toekomst kan gebeuren.
Raadpleeg de officiële website van FWDesign voor het meest recente advisory: https://www.fw-design.com/
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.