Plataforma
wordpress
Componente
videowhisper-live-streaming-integration
Corrigido em
6.2.1
A vulnerabilidade CVE-2025-26752 representa uma falha de Acesso Arbitrário de Arquivo (Path Traversal) no plugin Broadcast Live Video. Essa falha permite que atacantes maliciosos acessem arquivos arbitrários no servidor, potencialmente expondo informações confidenciais. A vulnerabilidade afeta versões do plugin de 0.0.0 até 6.2 e foi corrigida na versão 6.2.1.
Um atacante explorando com sucesso essa vulnerabilidade pode ler arquivos fora do diretório web raiz, incluindo arquivos de configuração, chaves de API e dados sensíveis do usuário. Isso pode levar à divulgação de informações confidenciais, comprometimento do servidor e, em alguns casos, execução remota de código se o atacante conseguir encontrar e ler arquivos executáveis. A exploração bem-sucedida pode resultar em um impacto significativo na confidencialidade, integridade e disponibilidade do sistema WordPress.
A vulnerabilidade foi divulgada em 25 de fevereiro de 2025. Não há evidências de exploração ativa em campanhas conhecidas no momento. A pontuação de probabilidade de exploração (EPSS) ainda está pendente de avaliação. A vulnerabilidade é similar a outras falhas de Path Traversal que podem ser exploradas para obter acesso não autorizado a recursos do sistema.
WordPress websites utilizing the Broadcast Live Video plugin, particularly those running older versions (0.0.0–6.2), are at significant risk. Shared hosting environments where users have limited control over plugin updates are also particularly vulnerable. Sites with sensitive data stored on the server are at higher risk of data compromise.
• wordpress / composer / npm:
grep -r "../" /var/www/html/videowhisper-live-streaming-integration/*• generic web:
curl -I 'http://your-wordpress-site.com/videowhisper-live-streaming-integration/../../../../etc/passwd' # Check for file disclosuredisclosure
Status do Exploit
EPSS
0.19% (percentil 41%)
CISA SSVC
Vetor CVSS
A mitigação primária para CVE-2025-26752 é atualizar o plugin Broadcast Live Video para a versão 6.2.1 ou superior. Se a atualização imediata não for possível, considere implementar medidas de segurança adicionais, como restringir o acesso ao diretório do plugin através de regras de firewall ou WAF (Web Application Firewall). Monitore os logs do servidor em busca de tentativas de acesso a arquivos fora do diretório web raiz.
Actualice el plugin 'Broadcast Live Video' a la última versión disponible para solucionar la vulnerabilidad de recorrido de directorio. Verifique las actualizaciones disponibles en el panel de administración de WordPress o a través del repositorio de plugins de WordPress. Asegúrese de realizar una copia de seguridad completa de su sitio web antes de aplicar cualquier actualización.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
CVE-2025-26752 is a HIGH severity vulnerability in Broadcast Live Video allowing attackers to read arbitrary files due to improper path validation. It affects versions 0.0.0–6.2.
Yes, if you are using Broadcast Live Video versions 0.0.0 through 6.2, you are affected by this vulnerability and should upgrade immediately.
Upgrade the Broadcast Live Video plugin to version 6.2.1 or later. As a temporary workaround, implement a WAF rule to block path traversal attempts.
There is currently no evidence of active exploitation, but the ease of exploitation makes it a potential target.
Refer to the vendor's official website or WordPress plugin repository for the latest advisory and update information.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.