Plataforma
wordpress
Componente
flex-store-user
Corregido en
1.1.1
El plugin Flex Store Users para WordPress presenta una vulnerabilidad de Escalada de Privilegios que permite a atacantes no autenticados obtener acceso administrativo al sitio. Esta falla se debe a la falta de restricciones en las funciones 'fsUserHandle::signup' y 'fsSellerRole::addroleseller' al registrar nuevos usuarios. Las versiones afectadas son desde 0.0.0 hasta la 1.1.0. Se recomienda actualizar el plugin a una versión corregida o aplicar medidas de mitigación.
Esta vulnerabilidad permite a un atacante no autenticado eludir los controles de acceso y obtener privilegios de administrador en el sitio WordPress. El atacante podría entonces realizar cualquier acción en nombre del administrador, incluyendo la modificación o eliminación de contenido, la instalación de malware, el acceso a datos sensibles de usuarios, y el control total del sitio web. La presencia del plugin Flex Store Seller agrava el riesgo, ya que la vulnerabilidad puede ser explotada a través del parámetro 'fs_type'. La escalada de privilegios representa un riesgo significativo para la confidencialidad, integridad y disponibilidad del sitio web y sus datos.
Esta vulnerabilidad fue publicada el 20 de diciembre de 2025. No se ha confirmado la explotación activa en la naturaleza, pero la alta puntuación CVSS (9.8) indica un alto riesgo. Es importante aplicar las medidas de mitigación lo antes posible para proteger los sitios WordPress vulnerables. Se recomienda monitorear fuentes de inteligencia de amenazas para detectar cualquier indicio de explotación.
WordPress sites utilizing the Flex Store Users plugin, particularly those running versions 0.0.0 through 1.1.0, are at significant risk. Shared hosting environments where plugin updates are not managed by the site owner are especially vulnerable. Sites that also have the Flex Store Seller plugin installed are at increased risk due to the exploitation via the 'fs_type' parameter.
• wordpress / composer / npm:
grep -r 'fsUserHandle::signup' /var/www/html/wp-content/plugins/flex-store-users/• wordpress / composer / npm:
grep -r 'fsSellerRole::add_role_seller' /var/www/html/wp-content/plugins/flex-store-users/• wordpress / composer / npm:
wp plugin list | grep 'flex-store-users'• wordpress / composer / npm:
wp plugin status flex-store-usersdisclosure
Estado del Exploit
EPSS
0.15% (35% percentil)
CISA SSVC
Vector CVSS
La mitigación principal es actualizar el plugin Flex Store Users a una versión corregida que solucione la vulnerabilidad. Si la actualización no es inmediatamente posible, se recomienda restringir el acceso al panel de administración y monitorear los registros del sitio en busca de actividad sospechosa. Implementar un firewall de aplicaciones web (WAF) con reglas para bloquear intentos de manipulación de parámetros de registro también puede ayudar a mitigar el riesgo. Verifique después de la actualización que el registro de usuarios esté restringido a roles predefinidos y que no se permita la asignación de roles de administrador durante el registro.
No hay un parche conocido disponible. Por favor, revise los detalles de la vulnerabilidad en profundidad y emplee mitigaciones basadas en la tolerancia al riesgo de su organización. Puede ser mejor desinstalar el software afectado y buscar un reemplazo.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2025-13619 is a critical vulnerability in the Flex Store Users WordPress plugin allowing unauthenticated attackers to gain administrator access by exploiting flawed role assignment during user registration.
If you are using the Flex Store Users plugin for WordPress in versions 0.0.0 through 1.1.0, you are potentially affected by this vulnerability. Check your plugin versions immediately.
The recommended fix is to upgrade the Flex Store Users plugin to a patched version as soon as it becomes available. Temporarily disabling the plugin is a short-term workaround.
While no active exploitation campaigns have been confirmed, the vulnerability's severity and ease of exploitation make it a likely target for attackers.
Refer to the official Flex Store Users plugin website or WordPress plugin repository for updates and advisories regarding CVE-2025-13619.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.