Scanner gratuitement
CRITICALCVE-2025-11533CVSS 9.8

WP Freeio <= 1.2.21 - Élévation de privilèges non authentifiée

Plateforme

wordpress

Composant

wp-freeio

Corrigé dans

1.2.22

AI Confidence: highNVDEPSS 0.2%Révisé: mai 2026
Voir sur NVD
Sauvegarder

La vulnérabilité CVE-2025-11533 est une élévation de privilèges critique affectant le plugin WordPress WP Freeio. Cette faille permet à un attaquant non authentifié d'obtenir un accès administrateur au site web en manipulant le processus d'inscription. Les versions concernées sont celles comprises entre 0.0.0 et 1.2.21 incluses. Une mise à jour vers la dernière version est recommandée pour corriger cette vulnérabilité.

WordPress

Détecte cette CVE dans ton projet

Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.

Scanner gratuitement

Impact et Scénarios d'Attaque

L'impact de cette vulnérabilité est extrêmement grave. Un attaquant exploitant cette faille peut contourner les mécanismes d'authentification et obtenir un contrôle total sur le site WordPress. Cela inclut la capacité de modifier le contenu, d'installer des logiciels malveillants, de voler des données sensibles (informations utilisateur, données de paiement, etc.) et de compromettre l'ensemble du serveur. La simplicité de l'exploitation rend cette vulnérabilité particulièrement dangereuse, car elle peut être exploitée par des attaquants ayant des compétences techniques limitées. Cette faille est similaire à d'autres vulnérabilités d'élévation de privilèges où une mauvaise gestion des rôles utilisateurs permet un accès non autorisé.

Contexte d'Exploitation

Cette vulnérabilité a été publiée le 11 octobre 2025. Il n'y a pas d'indication d'une exploitation active à ce jour, mais la simplicité de l'exploitation suggère un risque élevé. La vulnérabilité n'a pas encore été ajoutée au catalogue KEV de CISA. Des preuves de concept (PoC) publiques sont susceptibles d'émerger rapidement, augmentant le risque d'exploitation.

Qui Est à Risquetraduction en cours…

Websites using the WP Freeio plugin, particularly those running older, unpatched versions (0.0.0–1.2.21), are at significant risk. Shared hosting environments where multiple websites share the same server are especially vulnerable, as a compromise of one site could potentially lead to the compromise of others. Sites with weak password policies or those that haven't implemented multi-factor authentication are also at increased risk.

Étapes de Détectiontraduction en cours…

• wordpress / composer / npm:

grep -r 'process_register' /var/www/html/wp-content/plugins/wp-freeio/

• wordpress / composer / npm:

wp plugin list --status=inactive | grep wp-freeio

• wordpress / composer / npm:

wp plugin auto-update --all

• generic web: Check WordPress logs (typically in /var/log/apache2/error.log or similar) for suspicious registration attempts with the 'administrator' role. • generic web: Monitor for unusual user registration activity in the WordPress admin panel.

Chronologie de l'Attaque

  1. Disclosure

    disclosure

Renseignement sur les Menaces

Statut de l'Exploit

Preuve de ConceptInconnu
CISA KEVNO
Exposition InternetÉlevée

EPSS

0.18% (percentile 40%)

CISA SSVC

Exploitationnone
Automatisableyes
Impact Techniquetotal

Vecteur CVSS

RENSEIGNEMENT SUR LES MENACES· CVSS 3.1CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H9.8CRITICALAttack VectorNetworkComment l'attaquant atteint la cibleAttack ComplexityLowConditions requises pour exploiterPrivileges RequiredNoneNiveau d'authentification requisUser InteractionNoneSi une action de la victime est requiseScopeUnchangedImpact au-delà du composant affectéConfidentialityHighRisque d'exposition de données sensiblesIntegrityHighRisque de modification non autorisée de donnéesAvailabilityHighRisque d'interruption de servicenextguardhq.com · Score de base CVSS v3.1
Que signifient ces métriques?
Attack Vector
Réseau — exploitable à distance via internet. Aucun accès physique ou local requis.
Attack Complexity
Faible — aucune condition spéciale requise. Exploitable de manière fiable.
Privileges Required
Aucun — sans authentification. Aucune identifiant requis pour exploiter.
User Interaction
Aucune — attaque automatique et silencieuse. La victime ne fait rien.
Scope
Inchangé — impact limité au composant vulnérable.
Confidentiality
Élevé — perte totale de confidentialité. L'attaquant peut lire toutes les données.
Integrity
Élevé — l'attaquant peut écrire, modifier ou supprimer toutes les données.
Availability
Élevé — panne complète ou épuisement des ressources. Déni de service total.

Logiciel Affecté

Composantwp-freeio
FournisseurApusTheme
Plage affectéeCorrigé dans
0 – 1.2.211.2.22

Classification de Faiblesse (CWE)

CWE-269

Chronologie

  1. Réservé
  2. Publiée
  3. Modifiée
  4. EPSS mis à jour
Sans correctif — 225 jours depuis la divulgation

Mitigation et Contournements

La solution principale est de mettre à jour le plugin WP Freeio vers la dernière version corrigée. Si la mise à jour n'est pas immédiatement possible, des mesures d'atténuation peuvent être mises en place. Il est possible de restreindre les rôles utilisateurs autorisés à s'inscrire via un plugin de sécurité WordPress ou en modifiant le code du plugin (avec prudence). Surveillez attentivement les tentatives d'inscription suspectes et bloquez les adresses IP malveillantes. Implémentez une politique de mots de passe forts et activez l'authentification à deux facteurs pour tous les utilisateurs, en particulier les administrateurs. Après la mise à jour, vérifiez les journaux du serveur pour détecter toute activité suspecte et confirmez que le processus d'inscription est correctement sécurisé.

Comment corriger

Mettez à jour le plugin WP Freeio vers une version corrigée. Le développeur a publié une mise à jour pour corriger cette vulnérabilité. Consultez la page de détails du CVE pour plus d'informations sur la version corrigée.

Newsletter Sécurité CVE

Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.

Questions fréquentestraduction en cours…

What is CVE-2025-11533 — Privilege Escalation in WP Freeio?

CVE-2025-11533 is a critical vulnerability in the WP Freeio WordPress plugin allowing unauthenticated attackers to gain administrator access by exploiting a flaw in user registration.

Am I affected by CVE-2025-11533 in WP Freeio?

If you are using WP Freeio version 0.0.0 through 1.2.21, you are potentially affected by this vulnerability. Check your plugin version immediately.

How do I fix CVE-2025-11533 in WP Freeio?

Upgrade the WP Freeio plugin to the latest available version as soon as a patch is released. Temporarily disable the plugin as a short-term workaround.

Is CVE-2025-11533 being actively exploited?

While active exploitation is not yet confirmed, the vulnerability's severity and ease of exploitation suggest a medium probability of exploitation. Monitor security advisories.

Where can I find the official WP Freeio advisory for CVE-2025-11533?

Check the WP Freeio plugin's official website and WordPress plugin repository for updates and security advisories related to CVE-2025-11533.

Ton projet est-il affecté ?

Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.

Scanner gratuitementRechercher des CVE