Plataforma
wordpress
Componente
ultimate-video-player
Corrigido em
10.0.1
O plugin Ultimate Video Player para WordPress & WooCommerce apresenta uma vulnerabilidade de Acesso Arbitrário de Arquivos. Essa falha permite que atacantes não autenticados leiam o conteúdo de arquivos arbitrários no servidor, potencialmente expondo informações confidenciais. A vulnerabilidade afeta todas as versões até, e incluindo, 10.0. A correção está disponível e a aplicação das medidas de mitigação é crucial para proteger os sistemas.
Um atacante explorando essa vulnerabilidade pode obter acesso não autorizado a arquivos no servidor WordPress. Isso pode incluir arquivos de configuração, chaves de API, dados de usuários e outros dados sensíveis. A leitura desses arquivos pode levar à divulgação de informações confidenciais, comprometimento da integridade do sistema e até mesmo à execução de código malicioso, dependendo do conteúdo dos arquivos acessados. A ausência de autenticação necessária para explorar a vulnerabilidade aumenta significativamente o risco, tornando-a uma ameaça séria para sites WordPress.
A vulnerabilidade foi divulgada em 2025-03-07. Não há informações disponíveis sobre exploração ativa ou sua inclusão no KEV (CISA Known Exploited Vulnerabilities) no momento da redação. A ausência de um Proof of Concept (PoC) público não elimina o risco, pois atacantes podem desenvolver suas próprias ferramentas de exploração. A vulnerabilidade é considerada de alta gravidade devido ao potencial de acesso não autorizado a dados sensíveis.
Websites utilizing the Ultimate Video Player plugin, particularly those running older versions (≤10.0), are at risk. Shared hosting environments are especially vulnerable as they often have limited control over file permissions and server configurations. WordPress sites with sensitive data stored on the same server are also at increased risk.
• wordpress / composer / npm:
grep -r 'content/downloader.php' /var/www/html/• generic web:
curl -I https://your-wordpress-site.com/content/downloader.php | grep -i 'content-type'• wordpress / composer / npm:
wp plugin list | grep "Ultimate Video Player"disclosure
Status do Exploit
EPSS
2.55% (percentil 85%)
CISA SSVC
Vetor CVSS
A mitigação primária é atualizar o plugin Ultimate Video Player para a versão corrigida, assim que estiver disponível. Enquanto a atualização não é possível, considere implementar medidas de segurança adicionais. Restrinja o acesso ao arquivo content/downloader.php através de um firewall de aplicação web (WAF) ou proxy reverso, bloqueando solicitações que tentem acessar arquivos fora do diretório esperado. Monitore os logs do servidor em busca de tentativas de acesso suspeitas ao arquivo content/downloader.php. Verifique se as permissões de arquivos e diretórios estão corretamente configuradas, restringindo o acesso apenas aos usuários necessários.
Actualice el plugin Ultimate Video Player WordPress & WooCommerce Plugin a la última versión disponible. Esto solucionará la vulnerabilidad de descarga de archivos arbitrarios no autenticada.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
CVE-2024-10804 is a vulnerability in the Ultimate Video Player WordPress plugin allowing unauthenticated attackers to read arbitrary files on the server via the content/downloader.php file, rated as CVSS 7.5 (HIGH).
You are affected if you are using the Ultimate Video Player WordPress plugin version 10.0 or earlier. Check your plugin version and upgrade immediately.
Upgrade the Ultimate Video Player WordPress plugin to the latest version, which includes the security patch. If upgrading is not possible, restrict access to content/downloader.php with a WAF.
As of now, there are no confirmed reports of active exploitation, but the vulnerability's ease of exploitation warrants immediate mitigation.
Refer to the plugin developer's website or the WordPress plugin repository for the official advisory and updated version.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.