Plataforma
wordpress
Componente
listee
Corregido en
1.1.7
La vulnerabilidad CVE-2025-12981 es una elevación de privilegios que afecta al tema Listee para WordPress, en versiones desde 1.0.0 hasta 1.1.6. Esta falla permite a atacantes no autenticados registrarse como Administrador, comprometiendo la seguridad del sitio web. La vulnerabilidad se debe a una validación incorrecta en el proceso de registro de usuarios. Una actualización a la versión 1.1.7 soluciona este problema.
Un atacante puede explotar esta vulnerabilidad para registrarse en el sitio WordPress como Administrador sin necesidad de credenciales válidas. Esto le otorga control total sobre el sitio web, incluyendo la capacidad de modificar contenido, instalar plugins maliciosos, acceder a información confidencial de los usuarios y realizar otras acciones dañinas. La falta de autenticación necesaria para la elevación de privilegios amplía significativamente el riesgo, ya que cualquier persona puede explotar esta vulnerabilidad. La consecución de privilegios de administrador puede llevar a la completa toma de control del sitio WordPress, con graves consecuencias para la reputación y la seguridad de los datos.
Esta vulnerabilidad ha sido publicada el 2026-02-27. No se han reportado campañas de explotación activas conocidas al momento de la publicación. La vulnerabilidad es de alta gravedad debido a su fácil explotación y el impacto potencial en la seguridad del sitio web. Se recomienda monitorear activamente los sistemas WordPress que utilizan el tema Listee para detectar cualquier actividad sospechosa.
Websites using the Listee WordPress theme, particularly those running vulnerable versions (1.0.0–1.1.6), are at significant risk. Shared hosting environments where multiple websites share the same server are also at increased risk, as a compromise on one site could potentially lead to lateral movement to others. Sites with weak password policies or disabled user registration are especially vulnerable.
• wordpress / composer / npm:
wp plugin list | grep listee-core• wordpress / composer / npm:
wp plugin update listee-core --version=1.1.7• wordpress / composer / npm:
grep -r 'user_role' /var/www/html/wp-content/plugins/listee-core/• generic web: Check WordPress plugin directory for mentions of the vulnerability and associated indicators.
disclosure
Estado del Exploit
EPSS
0.02% (6% percentil)
CISA SSVC
Vector CVSS
La mitigación principal para CVE-2025-12981 es actualizar el tema Listee a la versión 1.1.7 o superior, donde la vulnerabilidad ha sido corregida. Si la actualización causa problemas de compatibilidad, considere realizar una copia de seguridad completa del sitio web antes de proceder. Como medida temporal, se puede implementar una regla en un firewall de aplicaciones web (WAF) para bloquear solicitudes de registro con parámetros user_role sospechosos. Verifique que el tema Listee esté actualizado después de la actualización para confirmar que la vulnerabilidad ha sido resuelta.
Actualizar a la versión 1.1.7, o una versión parcheada más reciente
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2025-12981 is a critical vulnerability allowing unauthenticated attackers to register as administrators in the Listee WordPress theme due to flawed user role validation. It impacts versions 1.0.0–1.1.6 and has a CVSS score of 9.8.
If you are using the Listee WordPress theme versions 1.0.0 through 1.1.6, you are vulnerable. Check your theme version and upgrade immediately.
Upgrade the Listee WordPress theme to version 1.1.7 or later. If upgrading is not possible, temporarily disable user registration.
While no widespread exploitation has been confirmed, the vulnerability's severity and ease of exploitation suggest a medium probability of active attacks.
Refer to the official Listee theme documentation or website for the latest advisory and updates regarding CVE-2025-12981.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.