PT-2025-50569 · WordPress · Wp Cardealer
Friderika Baranyai
·
Publicado
2025-12-11
·
Atualizado
2025-12-11
·
CVE-2025-13764
CVSS v3.1
9.8
Crítica
| Vetor | AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H |
Nome do Software Vulnerável e Versões Afetadas
Plugin WP CarDealer para WordPress versões anteriores à 1.2.17
Descrição
O plugin WP CarDealer para WordPress está suscetível a um problema de escalonamento de privilégios. A função
WP CarDealer User::process register não restringe adequadamente as atribuições de função de usuário durante o registro. Isso permite que atacantes não autenticados se registrem com a função 'administrator', obtendo acesso administrativo não autorizado ao site WordPress.Recomendações
Versões anteriores à 1.2.17 devem ser atualizadas. Como medida de contorno temporária, restrinja os registros de usuários até que um patch esteja disponível.
Correção
LPE
Improper Privilege Management
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Wp Cardealer