Plataforma
wordpress
Componente
live-shopping-video-streams
Corrigido em
2.2.1
Uma vulnerabilidade de Cross-Site Request Forgery (CSRF) foi identificada no plugin Live Shopping & Shoppable Videos For WooCommerce, afetando versões de 0.0.0 até 2.2.0. Essa falha permite que um atacante execute ações em nome de um usuário autenticado sem o seu conhecimento, potencialmente comprometendo dados e configurações. A equipe do Channelize.io está trabalhando em uma correção, e medidas de mitigação devem ser implementadas imediatamente.
A exploração bem-sucedida desta vulnerabilidade CSRF pode permitir que um atacante realize ações não autorizadas na conta de um usuário, como alterar configurações, excluir dados ou até mesmo realizar transações fraudulentas. O impacto é ampliado em ambientes onde os usuários possuem permissões administrativas, pois um atacante poderia obter controle total sobre a loja WooCommerce. A vulnerabilidade se aproveita da falta de validação adequada de tokens CSRF em certas operações do plugin, permitindo que requisições maliciosas sejam executadas sem a necessidade de autenticação adicional além daquela já possuída pelo usuário.
A vulnerabilidade foi divulgada em 31 de dezembro de 2025. Não há evidências de exploração ativa em campanhas direcionadas no momento. A pontuação de probabilidade de exploração (EPSS) ainda está pendente de avaliação. É recomendável monitorar os canais de segurança e fóruns da comunidade WordPress para obter atualizações sobre possíveis explorações.
WooCommerce store owners using the Live Shopping & Shoppable Videos For WooCommerce plugin, particularly those running versions 0.0.0 through 2.2.0, are at risk. Shared hosting environments where plugin updates are managed by the hosting provider may be particularly vulnerable if they haven't applied the update.
• wordpress / composer / npm:
grep -r 'Channelize.io Team Live Shopping & Shoppable Videos For WooCommerce' /wp-content/plugins/
wp plugin list | grep 'Live Shopping & Shoppable Videos'• generic web:
curl -I https://your-wordpress-site.com/wp-content/plugins/live-shopping-video-streams/ | grep -i 'channelize.io'disclosure
Status do Exploit
EPSS
0.02% (percentil 5%)
CISA SSVC
Vetor CVSS
Enquanto a correção oficial ainda não foi lançada, algumas medidas de mitigação podem ser implementadas para reduzir o risco. Primeiramente, desative o plugin Live Shopping & Shoppable Videos For WooCommerce se não estiver em uso ativo. Em segundo lugar, implemente regras de firewall de aplicação web (WAF) para bloquear requisições suspeitas que tentem explorar a vulnerabilidade CSRF. Considere também a implementação de validação de tokens CSRF em todas as operações críticas do plugin, se possível, através de um plugin de segurança adicional. Após a disponibilização da atualização, realize a atualização imediatamente e verifique se as funcionalidades do plugin continuam operando corretamente.
Nenhum patch conhecido disponível. Por favor, revise os detalhes da vulnerabilidade em profundidade e empregue mitigações com base na tolerância ao risco da sua organização. Pode ser melhor desinstalar o software afetado e encontrar um substituto.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
É uma vulnerabilidade de Cross-Site Request Forgery (CSRF) no plugin Live Shopping & Shoppable Videos For WooCommerce, permitindo que atacantes executem ações não autorizadas em nome de usuários autenticados.
Sim, se você estiver usando o plugin Live Shopping & Shoppable Videos For WooCommerce nas versões de 0.0.0 até 2.2.0, você está potencialmente afetado.
Atualize para a versão corrigida do plugin assim que estiver disponível. Enquanto isso, implemente medidas de mitigação como WAF e validação de tokens CSRF.
Atualmente, não há evidências de exploração ativa, mas é recomendável monitorar a situação de perto.
Verifique o site do Channelize.io e os canais de segurança do WordPress para obter o aviso oficial e as atualizações.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.