平台
wordpress
组件
videowhisper-live-streaming-integration
修复版本
6.2.1
CVE-2025-26752 描述了 Broadcast Live Video 中的路径遍历漏洞。该漏洞允许攻击者通过构造恶意请求访问受限制目录中的任意文件,可能导致敏感信息泄露或系统被篡改。该漏洞影响 Broadcast Live Video 的 0.0.0 到 6.2 版本,已于 6.2.1 版本修复。
攻击者可以利用此路径遍历漏洞读取服务器上的任意文件,包括配置文件、源代码、甚至其他用户的敏感数据。如果服务器上的其他应用程序或服务依赖于这些文件,攻击者可能能够利用此漏洞进行横向移动,进一步扩大攻击范围。例如,如果服务器上存在数据库配置文件,攻击者可能能够获取数据库凭据,从而访问数据库中的数据。此漏洞的潜在影响范围取决于服务器上存储的数据类型和敏感程度。
该漏洞已公开披露,且存在潜在的利用风险。目前尚未观察到大规模的利用活动,但由于漏洞的易利用性,建议尽快采取缓解措施。CISA 尚未将其添加到 KEV 目录,但应密切关注相关安全公告。
WordPress websites utilizing the Broadcast Live Video plugin, particularly those running older versions (0.0.0–6.2), are at significant risk. Shared hosting environments where users have limited control over plugin updates are also particularly vulnerable. Sites with sensitive data stored on the server are at higher risk of data compromise.
• wordpress / composer / npm:
grep -r "../" /var/www/html/videowhisper-live-streaming-integration/*• generic web:
curl -I 'http://your-wordpress-site.com/videowhisper-live-streaming-integration/../../../../etc/passwd' # Check for file disclosuredisclosure
漏洞利用状态
EPSS
0.19% (41% 百分位)
CISA SSVC
CVSS 向量
最有效的缓解措施是立即将 Broadcast Live Video 升级至 6.2.1 版本或更高版本。如果无法立即升级,可以尝试限制 Broadcast Live Video 运行目录的访问权限,只允许必要的用户和进程访问。此外,可以配置 Web 应用防火墙 (WAF) 或代理服务器,以检测和阻止包含路径遍历攻击模式的请求。使用 Sigma 或 YARA 规则可以帮助检测恶意文件访问尝试。
Actualice el plugin 'Broadcast Live Video' a la última versión disponible para solucionar la vulnerabilidad de recorrido de directorio. Verifique las actualizaciones disponibles en el panel de administración de WordPress o a través del repositorio de plugins de WordPress. Asegúrese de realizar una copia de seguridad completa de su sitio web antes de aplicar cualquier actualización.
漏洞分析和关键警报直接发送到您的邮箱。
CVE-2025-26752 是 Broadcast Live Video 插件中的一个路径遍历漏洞,允许攻击者访问服务器上的任意文件。
如果您正在使用 Broadcast Live Video 插件的版本低于 6.2.1,则可能受到此漏洞的影响。
立即将 Broadcast Live Video 插件升级至 6.2.1 或更高版本。
目前尚未观察到大规模的利用活动,但由于漏洞的易利用性,建议尽快采取缓解措施。
请访问 Broadcast Live Video 官方网站或 WordPress 插件目录,查找相关安全公告。
上传你的依赖文件,立即了解此CVE和其他CVE是否影响你。