PT-2025-52547 · WordPress+1 · Flex Store Users+1
Ismail Syaleh
·
Publicado
2025-12-20
·
Atualizado
2026-01-02
·
CVE-2025-13619
CVSS v3.1
9.8
Crítica
| Vetor | AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H |
Nome do Software Vulnerável e Versões Afetadas
Plugin Flex Store Users para WordPress versões anteriores à 1.1.1
Descrição
O plugin Flex Store Users para WordPress está suscetível à elevação de privilégios. Atacantes não autenticados podem se registrar com a função 'administrator' durante o registro, obtendo acesso de administrador ao site. Isso se deve a restrições insuficientes nas funções
fsUserHandle::signup e fsSellerRole::add role seller em relação ao registro de função de usuário. O parâmetro fs type está envolvido quando o plugin Flex Store Seller também está ativado.Recomendações
Versões anteriores à 1.1.1 devem ser atualizadas.
Correção
LPE
Improper Privilege Management
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Flex Store Seller
Flex Store Users