Plataforma
wordpress
Componente
jay-login-register
Corregido en
2.6.04
El plugin JAY Login & Register para WordPress presenta una vulnerabilidad de Elevación de Privilegios en todas las versiones hasta la 2.6.03, inclusive. Esta falla se debe a que el plugin permite a un usuario actualizar metadatos de usuario arbitrarios a través de la función 'jayloginregisterajaxcreatefinaluser'. Esto facilita que atacantes no autenticados escalen sus privilegios al nivel de administrador. La versión 2.6.04 corrige esta vulnerabilidad.
Un atacante no autenticado puede explotar esta vulnerabilidad para obtener acceso de administrador al sitio WordPress. Esto le permitiría realizar cualquier acción en el sitio, incluyendo la modificación o eliminación de contenido, la instalación de malware, el acceso a datos confidenciales de usuarios, y la toma del control total del sitio web. La severidad crítica de esta vulnerabilidad se debe a la facilidad de explotación y el impacto potencial en la confidencialidad, integridad y disponibilidad del sitio web. La falta de autenticación necesaria para explotar la vulnerabilidad aumenta significativamente el riesgo, ya que cualquier persona con acceso a la red puede intentar la explotación.
Esta vulnerabilidad ha sido publicada en el NVD el 8 de febrero de 2026. No se ha confirmado la explotación activa en la naturaleza, pero la alta puntuación CVSS y la facilidad de explotación sugieren que es un objetivo atractivo para los atacantes. No se ha listado en el KEV de CISA al momento de la publicación. Se recomienda monitorear de cerca la situación y aplicar las mitigaciones necesarias.
Estado del Exploit
EPSS
0.05% (16% percentil)
CISA SSVC
Vector CVSS
La solución principal es actualizar el plugin JAY Login & Register a la versión 2.6.04 o superior, que corrige la vulnerabilidad. Si la actualización no es inmediatamente posible, se recomienda implementar medidas de mitigación temporales. Estas pueden incluir restringir el acceso a la función 'jayloginregisterajaxcreatefinaluser' mediante reglas de firewall o WAF, o implementar controles de acceso más estrictos para los usuarios que interactúan con esta función. Revise los logs del servidor en busca de actividad sospechosa relacionada con la creación o modificación de usuarios. Después de la actualización, confirme que la función 'jayloginregisterajaxcreatefinaluser' ya no es vulnerable a la manipulación de metadatos.
Actualizar a la versión 2.6.04, o una versión parcheada más reciente
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2025-15027 is a critical vulnerability in the JAY Login & Register WordPress plugin allowing unauthenticated users to gain administrator privileges. This can lead to full site compromise.
You are affected if your WordPress site uses the JAY Login & Register plugin and is running version 2.6.03 or earlier. Check your plugin version immediately.
Upgrade the JAY Login & Register plugin to version 2.6.04 or later. If immediate upgrade is not possible, disable the plugin temporarily.
While no active exploitation has been confirmed, the vulnerability's simplicity suggests a high probability of exploitation, and monitoring is recommended.
Refer to the official JAY Login & Register plugin website or WordPress plugin repository for the latest advisory and update information.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.