Plataforma
wordpress
Componente
lizza-lms-pro
Corregido en
1.0.4
La vulnerabilidad CVE-2025-13563 es una elevación de privilegios presente en el plugin Lizza LMS Pro para WordPress. Esta falla permite a atacantes no autenticados obtener acceso administrativo al sitio web, comprometiendo la seguridad de la plataforma. Afecta a las versiones 1.0.0 hasta la 1.0.3. La solución es actualizar a la versión 1.0.4.
El impacto de esta vulnerabilidad es crítico, ya que permite a un atacante no autenticado obtener acceso completo al sitio WordPress. Esto significa que pueden modificar contenido, instalar malware, robar datos sensibles de usuarios, y comprometer la integridad del sitio. Un atacante podría, por ejemplo, modificar la base de datos para alterar precios de cursos, eliminar usuarios legítimos, o inyectar código malicioso en las páginas del sitio. La falta de autenticación necesaria para asignar roles de administrador abre una puerta de entrada directa a la administración del sitio, similar a vulnerabilidades que han permitido el control total de sitios web en el pasado.
Esta vulnerabilidad ha sido publicada el 19 de febrero de 2026. No se ha confirmado explotación activa en campañas conocidas, pero la alta puntuación CVSS (9.8) indica una alta probabilidad de ser explotada. Es recomendable monitorear los foros de seguridad y repositorios de exploits para detectar posibles pruebas de concepto (PoC) o herramientas de explotación. La vulnerabilidad se encuentra en el catálogo KEV de CISA, lo que subraya su importancia y riesgo.
Estado del Exploit
EPSS
0.10% (28% percentil)
CISA SSVC
Vector CVSS
La mitigación principal para CVE-2025-13563 es actualizar el plugin Lizza LMS Pro a la versión 1.0.4 o superior, donde la vulnerabilidad ha sido corregida. Si la actualización causa problemas de compatibilidad, considere realizar una copia de seguridad completa del sitio antes de actualizar. Como medida temporal, se puede implementar una regla en un firewall de aplicaciones web (WAF) para bloquear solicitudes de registro que incluyan el rol 'administrator'. Además, revise los registros del sitio en busca de intentos de registro sospechosos.
Actualizar a la versión 1.0.4, o una versión parcheada más reciente
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2025-13563 is a critical vulnerability in Lizza LMS Pro WordPress plugin allowing unauthenticated attackers to gain administrator access by exploiting a flaw in user registration. It impacts versions 1.0.0 through 1.0.3.
You are affected if your WordPress site uses Lizza LMS Pro version 1.0.0, 1.0.1, 1.0.2, or 1.0.3. Check your plugin version immediately to determine your risk level.
Upgrade Lizza LMS Pro to version 1.0.4 or later to resolve the vulnerability. If immediate upgrade is not possible, implement temporary workarounds like WAF rules to block suspicious registration attempts.
While no active exploitation has been confirmed, the vulnerability's ease of exploitation suggests a high likelihood of exploitation. Monitor security advisories and threat intelligence feeds.
Refer to the official Lizza LMS Pro website or the WordPress plugin repository for the latest security advisory and update information regarding CVE-2025-13563.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.