WordPress VideoWhisper Live Streaming Integration 插件 <= 6.2 - 任意文件下载漏洞

攻击者可以利用此路径遍历漏洞访问 Broadcast Live Video 安装目录之外的文件，包括服务器上的其他敏感数据。例如，攻击者可能能够读取配置文件，其中包含数据库密码或其他凭据，从而获得对整个系统的控制权。更严重的场景下，攻击者可能能够修改或删除重要文件，导致服务中断或数据泄露。由于该漏洞允许攻击者访问任意文件，因此其潜在影响范围广泛，可能涉及数据泄露、系统破坏和未经授权的访问。

WordPress websites utilizing the Broadcast Live Video plugin, particularly those running older versions (0.0.0 - 6.2), are at risk. Shared hosting environments where WordPress installations have limited file system access controls are also at increased risk, as an attacker gaining access to one site could potentially exploit this vulnerability to access files on other sites hosted on the same server.

• wordpress / composer / npm:

grep -r "../" /var/www/html/videowhisper-live-streaming-integration/*

• generic web:

curl -I 'https://your-wordpress-site.com/videowhisper-live-streaming-integration/../../../../etc/passwd' # Check for file disclosure

1. 2025-02-25Disclosure

   disclosure

1. 已保留2025-02-14
2. 发布日期2025-02-25
3. 修改日期2026-04-28
4. EPSS 更新日期2026-04-02

为了缓解 CVE-2025-26753 的风险，首要措施是立即将 Broadcast Live Video 升级到 6.2.1 或更高版本。如果无法立即升级，可以考虑使用 Web 应用防火墙 (WAF) 或反向代理来过滤恶意请求，阻止攻击者尝试访问受限制目录之外的文件。此外，应审查 Broadcast Live Video 的配置，确保文件权限设置正确，并限制对敏感文件的访问。在升级后，请验证漏洞是否已成功修复，例如通过尝试访问已知受保护的文件，确认访问被拒绝。