Plataforma
wordpress
Componente
fwdevp
Corrigido em
10.0.1
A vulnerabilidade CVE-2025-28955 é classificada como Path Traversal (Acesso Arbitrário de Arquivos) no plugin Easy Video Player Wordpress & WooCommerce. Essa falha permite que atacantes acessem arquivos no servidor além do diretório pretendido, potencialmente expondo informações confidenciais. A vulnerabilidade afeta versões do plugin de 0.0.0 até 10.0 e foi corrigida na versão 10.0.1.
Um atacante explorando essa vulnerabilidade pode ler arquivos arbitrários no servidor web, incluindo arquivos de configuração, código-fonte e dados sensíveis dos usuários. Isso pode levar à divulgação de informações confidenciais, como credenciais de banco de dados, chaves de API e dados pessoais. Em cenários mais graves, um atacante pode até mesmo modificar ou excluir arquivos, comprometendo a integridade do sistema. A exploração bem-sucedida pode resultar em acesso não autorizado a dados críticos e interrupção do serviço.
A vulnerabilidade foi divulgada em 2025-07-16. Não há informações disponíveis sobre exploração ativa ou inclusão no KEV (CISA Known Exploited Vulnerabilities) no momento desta análise. Não há public proof-of-concept (PoC) amplamente divulgado, mas a natureza da vulnerabilidade de Path Traversal torna a exploração relativamente simples para atacantes com conhecimento técnico.
WordPress websites utilizing the Easy Video Player Wordpress & WooCommerce plugin, particularly those running older, unpatched versions (0.0.0–10.0), are at risk. Shared hosting environments where users have limited control over plugin updates are also particularly vulnerable.
• wordpress / composer / npm:
grep -r "../" /var/www/html/wp-content/plugins/easy-video-player-woocommerce/• generic web:
curl -I 'https://your-wordpress-site.com/wp-content/plugins/easy-video-player-woocommerce/../../../../etc/passwd' # Check for file disclosuredisclosure
Status do Exploit
EPSS
0.08% (percentil 23%)
CISA SSVC
Vetor CVSS
A mitigação primária para CVE-2025-28955 é atualizar o plugin Easy Video Player Wordpress & WooCommerce para a versão 10.0.1 ou superior. Se a atualização imediata não for possível, considere implementar medidas de segurança adicionais, como restringir o acesso ao diretório de uploads do WordPress e monitorar logs de acesso em busca de tentativas de acesso a arquivos suspeitos. Implementar um Web Application Firewall (WAF) com regras para bloquear solicitações com sequências de path traversal (ex: '../') pode ajudar a mitigar o risco. Verifique se as permissões de arquivos e diretórios estão configuradas corretamente para limitar o acesso.
Actualice el plugin Easy Video Player Wordpress & WooCommerce a la última versión disponible para solucionar la vulnerabilidad de recorrido de directorio. Verifique las actualizaciones en el panel de administración de WordPress o en el repositorio de plugins de WordPress. Asegúrese de realizar una copia de seguridad del sitio antes de actualizar.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
CVE-2025-28955 is a HIGH severity vulnerability in Easy Video Player Wordpress & WooCommerce allowing attackers to read arbitrary files via path traversal. It affects versions 0.0.0–10.0.
If you are using Easy Video Player Wordpress & WooCommerce versions 0.0.0 through 10.0, you are affected by this vulnerability.
Upgrade to version 10.0.1 or later to resolve the Arbitrary File Access vulnerability. Consider WAF rules as a temporary mitigation.
There is currently no evidence of active exploitation, but the vulnerability's nature makes it a potential target.
Refer to the FWDesign website and WordPress plugin repository for the official advisory and update information.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.