Plataforma
wordpress
Componente
wp-cardealer
Corregido en
1.2.17
La vulnerabilidad CVE-2025-13764 es una elevación de privilegios presente en el plugin WP CarDealer para WordPress. Esta falla permite a atacantes no autenticados obtener acceso de administrador al sitio web, comprometiendo la seguridad de los datos y la integridad del sistema. Afecta a todas las versiones del plugin hasta la 1.2.16, siendo solucionada en la versión 1.2.17.
El impacto de esta vulnerabilidad es crítico, ya que permite a un atacante no autenticado obtener control total sobre un sitio WordPress que utiliza el plugin WP CarDealer. Un atacante podría modificar contenido, instalar malware, robar datos sensibles de usuarios, o incluso tomar el sitio completamente fuera de línea. La facilidad de explotación, al no requerir autenticación previa, aumenta significativamente el riesgo. Este tipo de vulnerabilidad es similar a otras elevaciones de privilegios que han afectado a plugins de WordPress, donde la falta de validación de roles de usuario durante el registro o la administración permite a atacantes eludir las restricciones de acceso.
El CVE-2025-13764 fue publicado el 11 de diciembre de 2025. No se ha añadido a la lista KEV de CISA, pero la puntuación CVSS de 9.8 indica una alta probabilidad de explotación. Es probable que se publiquen pruebas de concepto (PoC) en los próximos días o semanas, lo que aumentará el riesgo de ataques. Se recomienda monitorear activamente los sitios web que utilizan el plugin WP CarDealer.
Websites utilizing the WP CarDealer plugin, particularly those with limited security hardening or those running older, unpatched versions of WordPress, are at significant risk. Shared hosting environments where multiple websites share the same server are also vulnerable, as a compromise of one site could potentially lead to the compromise of others.
• wordpress / composer / npm:
grep -r 'WP_CarDealer_User::process_register' /var/www/html/wp-content/plugins/wp-cardealer/• wordpress / composer / npm:
wp plugin list --status=all | grep 'wp-cardealer'• wordpress / composer / npm:
wp plugin update wp-cardealer --alldisclosure
Estado del Exploit
EPSS
0.15% (35% percentil)
CISA SSVC
Vector CVSS
La mitigación principal para CVE-2025-13764 es actualizar el plugin WP CarDealer a la versión 1.2.17 o superior, que corrige la vulnerabilidad. Si la actualización causa problemas de compatibilidad, considere realizar una copia de seguridad completa del sitio antes de actualizar. Como medida temporal, se puede implementar un firewall de aplicaciones web (WAF) para bloquear solicitudes de registro sospechosas que intenten asignar el rol de administrador. Además, revise los registros del servidor en busca de intentos de registro inusuales o cambios no autorizados en los roles de usuario.
Actualizar a la versión 1.2.17, o una versión parcheada más reciente
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2025-13764 is a critical vulnerability in the WP CarDealer WordPress plugin allowing unauthenticated attackers to gain administrator access by manipulating user roles during registration.
You are affected if you are using WP CarDealer versions 0.0 through 1.2.16. Immediately check your plugin version and upgrade if necessary.
Upgrade the WP CarDealer plugin to version 1.2.17 or later to resolve the vulnerability. Consider temporary workarounds if immediate upgrade is not possible.
There is currently no confirmed active exploitation, but the vulnerability's simplicity makes it a likely target for attackers.
Refer to the official WP CarDealer plugin website and WordPress.org plugin repository for the latest security advisory and update information.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.