Plataforma
wordpress
Componente
designthemes-lms
Corregido en
1.0.5
La vulnerabilidad CVE-2025-13542 representa una grave falla de Escalada de Privilegios en el plugin DesignThemes LMS para WordPress. Esta vulnerabilidad permite a atacantes no autenticados eludir las restricciones de roles durante el registro de usuarios, otorgándose acceso de administrador al sitio web. Afecta a las versiones 1.0.0 hasta la 1.0.4 del plugin, y la solución es actualizar a la versión 1.0.5.
El impacto de esta vulnerabilidad es crítico, ya que permite a un atacante no autenticado obtener acceso completo al sitio WordPress. Esto significa que el atacante puede modificar contenido, instalar malware, robar datos sensibles de usuarios, y comprometer la integridad del sitio web. La capacidad de escalar privilegios sin autenticación elimina una barrera de seguridad fundamental, facilitando la toma de control del sitio. Esta vulnerabilidad es particularmente peligrosa porque se explota durante el proceso de registro de usuarios, un punto de entrada común para ataques automatizados y fuerza bruta.
La vulnerabilidad CVE-2025-13542 fue publicada el 2 de diciembre de 2025. Actualmente no se ha añadido al KEV de CISA, pero la alta puntuación CVSS (9.8) indica un riesgo significativo. Se desconoce la existencia de un Proof of Concept (PoC) público, pero la naturaleza de la vulnerabilidad la hace susceptible a explotación automatizada. Se recomienda monitorear activamente los sistemas afectados.
WordPress sites utilizing the DesignThemes LMS plugin, particularly those running versions 1.0.0 through 1.0.4, are at significant risk. Shared hosting environments where multiple websites share the same server are especially vulnerable, as a compromise of one site could potentially lead to the compromise of others. Sites with legacy WordPress configurations or those lacking robust security practices are also at higher risk.
• wordpress / composer / npm:
grep -r 'dtlms_register_user_front_end' /var/www/html/wp-content/plugins/designthemes-lms/• wordpress / composer / npm:
wp plugin list --status=inactive | grep designthemes-lms• wordpress / composer / npm:
wp plugin update designthemes-lms --all• generic web: Check WordPress plugin directory for updated version of DesignThemes LMS.
disclosure
Estado del Exploit
EPSS
0.15% (35% percentil)
CISA SSVC
Vector CVSS
La mitigación principal para CVE-2025-13542 es actualizar el plugin DesignThemes LMS a la versión 1.0.5 o superior, donde la vulnerabilidad ha sido corregida. Si la actualización causa problemas de compatibilidad, considere realizar una copia de seguridad completa del sitio antes de actualizar y explorar opciones de rollback si es necesario. Como medida temporal, se puede implementar una regla en un Web Application Firewall (WAF) para bloquear solicitudes de registro que incluyan el rol 'administrator' en los parámetros de entrada. Además, revise los registros del servidor en busca de intentos de registro sospechosos.
Actualizar a la versión 1.0.5, o una versión parcheada más reciente
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2025-13542 is a critical vulnerability allowing unauthenticated attackers to gain administrator access to WordPress sites using the DesignThemes LMS plugin by exploiting a flaw in user registration.
If you are using DesignThemes LMS versions 1.0.0 through 1.0.4 on your WordPress site, you are potentially affected by this vulnerability.
Upgrade the DesignThemes LMS plugin to version 1.0.5 or later to resolve the vulnerability. Consider temporary workarounds if immediate upgrade is not possible.
While no active exploitation has been confirmed, the vulnerability's ease of exploitation suggests a medium probability of exploitation and active monitoring is recommended.
Refer to the DesignThemes LMS website and WordPress plugin repository for the official advisory and update information.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.