Plataforma
wordpress
Componente
fwduvp
Corrigido em
10.1.1
Uma vulnerabilidade de Server-Side Request Forgery (SSRF) foi descoberta no plugin Ultimate Video Player da FWDesign. Essa falha permite que atacantes realizem requisições para recursos internos do servidor, potencialmente expondo informações sensíveis ou realizando ações não autorizadas. A vulnerabilidade afeta versões do plugin de 0.0.0 até 10.1, sendo corrigida na versão 10.1.1.
A exploração bem-sucedida desta vulnerabilidade SSRF pode permitir que um atacante acesse recursos internos que normalmente não estão acessíveis externamente. Isso pode incluir dados de configuração, arquivos de log, ou até mesmo outros serviços rodando no mesmo servidor. Um atacante poderia, por exemplo, escanear a rede interna em busca de outros serviços vulneráveis, ou obter acesso a informações confidenciais armazenadas em bancos de dados internos. O impacto potencial é alto, especialmente em ambientes onde o servidor web tem acesso a recursos críticos da infraestrutura.
A vulnerabilidade foi divulgada publicamente em 2025-09-09. Não há informações disponíveis sobre exploração ativa ou inclusão no KEV (CISA Known Exploited Vulnerabilities) no momento da redação. A existência de um Proof of Concept (PoC) público pode aumentar o risco de exploração.
WordPress websites utilizing the Ultimate Video Player plugin, particularly those with internal services accessible via HTTP/HTTPS, are at risk. Shared hosting environments where plugin updates are managed centrally are also vulnerable, as are sites running older, unpatched versions of the plugin.
• wordpress / composer / npm:
grep -r 'http://' /var/www/html/wp-content/plugins/ultimate-video-player/*• generic web:
curl -I <wordpress_site>/wp-content/plugins/ultimate-video-player/ # Check for unusual headersdisclosure
Status do Exploit
EPSS
0.04% (percentil 10%)
CISA SSVC
Vetor CVSS
A mitigação primária é atualizar o plugin Ultimate Video Player para a versão 10.1.1 ou superior. Enquanto a atualização não for possível, considere implementar regras de firewall ou WAF (Web Application Firewall) para restringir as requisições que o plugin pode fazer. Monitore os logs do servidor web em busca de requisições suspeitas para recursos internos. Desative temporariamente o plugin se a atualização imediata não for viável e o risco for considerado alto.
Atualize o plugin Ultimate Video Player para a última versão disponível para mitigar a vulnerabilidade de SSRF. Verifique as atualizações no repositório do WordPress ou no site do desenvolvedor. Implemente medidas de segurança adicionais, como a validação de entradas e a restrição de acesso a recursos sensíveis.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
CVE-2025-49430 é uma vulnerabilidade SSRF (Server-Side Request Forgery) no plugin Ultimate Video Player, permitindo que atacantes façam requisições não autorizadas ao servidor.
Se você estiver utilizando o Ultimate Video Player em versões de 0.0.0 até 10.1, você está afetado por esta vulnerabilidade.
A correção é atualizar o plugin Ultimate Video Player para a versão 10.1.1 ou superior. Considere regras de firewall como mitigação temporária.
Não há informações disponíveis sobre exploração ativa no momento, mas a divulgação pública aumenta o risco.
Verifique o site oficial da FWDesign ou o repositório do plugin no WordPress.org para obter o advisory oficial.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.