Plataforma
wordpress
Componente
videowhisper-live-streaming-integration
Corrigido em
6.2.1
A vulnerabilidade CVE-2025-26753 representa um problema de Acesso Arbitrário de Arquivo (Path Traversal) identificado em Broadcast Live Video. Essa falha permite que um atacante, sob certas condições, acesse arquivos e diretórios fora do escopo pretendido, potencialmente expondo informações sensíveis do sistema. A vulnerabilidade afeta versões do componente de 0.0.0 até 6.2, sendo corrigida na versão 6.2.1.
Um atacante explorando com sucesso essa vulnerabilidade pode obter acesso não autorizado a arquivos confidenciais no servidor onde o Broadcast Live Video está instalado. Isso pode incluir arquivos de configuração, código-fonte, dados de usuários ou outros dados sensíveis. A exploração bem-sucedida pode levar à divulgação de informações, modificação de arquivos ou até mesmo à execução de código malicioso no servidor, dependendo das permissões do usuário sob o qual o Broadcast Live Video está sendo executado. A ausência de validação adequada do caminho do arquivo permite que um atacante utilize sequências como '..' para navegar para diretórios superiores e acessar arquivos fora do diretório raiz da aplicação.
A vulnerabilidade foi divulgada em 2025-02-25. Não há informações disponíveis sobre exploração ativa ou inclusão no KEV (CISA Known Exploited Vulnerabilities) no momento da publicação. Não foram identificados Proof of Concepts (PoCs) públicos. A severidade é classificada como HIGH (CVSS 7.5), indicando um risco significativo.
WordPress websites utilizing the Broadcast Live Video plugin, particularly those running older versions (0.0.0 - 6.2), are at risk. Shared hosting environments where WordPress installations have limited file system access controls are also at increased risk, as an attacker gaining access to one site could potentially exploit this vulnerability to access files on other sites hosted on the same server.
• wordpress / composer / npm:
grep -r "../" /var/www/html/videowhisper-live-streaming-integration/*• generic web:
curl -I 'https://your-wordpress-site.com/videowhisper-live-streaming-integration/../../../../etc/passwd' # Check for file disclosuredisclosure
Status do Exploit
EPSS
0.19% (percentil 41%)
CISA SSVC
Vetor CVSS
A mitigação primária para CVE-2025-26753 é atualizar o Broadcast Live Video para a versão 6.2.1 ou superior, que inclui a correção para essa vulnerabilidade. Se a atualização imediata não for possível, considere implementar medidas de segurança adicionais, como restringir o acesso ao servidor onde o Broadcast Live Video está instalado, utilizando um firewall para bloquear tráfego não autorizado e monitorando os logs do servidor em busca de atividades suspeitas. Implementar regras de WAF (Web Application Firewall) para bloquear requisições com padrões de path traversal (ex: '../') também pode ajudar a mitigar o risco. Após a atualização, confirme a correção verificando se o acesso a arquivos fora do diretório pretendido é bloqueado.
Actualice el plugin 'Broadcast Live Video' a la última versión disponible para solucionar la vulnerabilidad de recorrido de directorio. Verifique la página del plugin en WordPress.org para obtener la versión más reciente y las instrucciones de actualización. Asegúrese de realizar una copia de seguridad de su sitio web antes de actualizar cualquier plugin.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
CVE-2025-26753 is a HIGH severity vulnerability allowing attackers to access files on a WordPress server through the Broadcast Live Video plugin. It affects versions 0.0.0–6.2 and has a CVSS score of 7.5.
If you are using Broadcast Live Video versions 0.0.0 through 6.2 on your WordPress site, you are potentially affected by this vulnerability. Check your plugin version immediately.
Upgrade the Broadcast Live Video plugin to version 6.2.1 or later to resolve this Arbitrary File Access vulnerability. Consider WAF rules as a temporary workaround if immediate upgrade is not possible.
As of now, there is no confirmed evidence of active exploitation, but the vulnerability's nature makes it a potential target. Monitor your systems closely.
Refer to the vendor's official website or WordPress plugin repository for the latest advisory and release notes regarding CVE-2025-26753.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.