Plateforme
wordpress
Composant
listee
Corrigé dans
1.1.7
Une vulnérabilité d'élévation de privilèges a été découverte dans le thème Listee pour WordPress. Cette faille, présente dans les versions 1.0.0 à 1.1.6, permet à un attaquant non authentifié de contourner les contrôles d'accès et de s'enregistrer en tant qu'administrateur. La vulnérabilité est due à une validation incorrecte du paramètre user_role lors de l'enregistrement des utilisateurs. La version 1.1.7 corrige cette faille.
L'impact de cette vulnérabilité est significatif. Un attaquant exploitant cette faille peut obtenir un contrôle total sur un site WordPress hébergeant le thème Listee. Cela inclut la capacité de modifier le contenu, d'installer des logiciels malveillants, de voler des données sensibles (informations utilisateur, données de configuration, etc.) et de compromettre l'ensemble du serveur. La possibilité de s'enregistrer en tant qu'administrateur permet un accès illimité et une persistance sur le système. Cette vulnérabilité est particulièrement préoccupante car elle ne nécessite aucune authentification préalable, ce qui la rend facilement exploitable.
Cette vulnérabilité a été rendue publique le 2026-02-27. Bien qu'il n'y ait pas d'indication d'exploitation active à ce jour, la simplicité de l'exploitation et la popularité du thème Listee en font une cible potentielle. Il est probable que des preuves de concept (PoC) soient rapidement disponibles. La vulnérabilité est susceptible d'être ajoutée au catalogue KEV de CISA en raison de sa gravité et de sa facilité d'exploitation.
Websites using the Listee WordPress theme, particularly those running vulnerable versions (1.0.0–1.1.6), are at significant risk. Shared hosting environments where multiple websites share the same server are also at increased risk, as a compromise on one site could potentially lead to lateral movement to others. Sites with weak password policies or disabled user registration are especially vulnerable.
• wordpress / composer / npm:
wp plugin list | grep listee-core• wordpress / composer / npm:
wp plugin update listee-core --version=1.1.7• wordpress / composer / npm:
grep -r 'user_role' /var/www/html/wp-content/plugins/listee-core/• generic web: Check WordPress plugin directory for mentions of the vulnerability and associated indicators.
disclosure
Statut de l'Exploit
EPSS
0.02% (percentile 6%)
CISA SSVC
Vecteur CVSS
La mitigation la plus efficace consiste à mettre à jour le thème Listee vers la version 1.1.7 ou supérieure. Si la mise à jour n'est pas immédiatement possible, envisagez de désactiver temporairement le thème ou de restreindre l'accès à l'interface d'administration. Bien qu'il n'existe pas de correctif direct pour les versions antérieures, une analyse minutieuse du code source du plugin listee-core pourrait permettre d'identifier et de corriger manuellement la validation du paramètre user_role, mais cela nécessite une expertise en développement WordPress. Après la mise à jour, vérifiez que les nouveaux utilisateurs sont correctement validés et que les rôles d'utilisateur sont attribués conformément aux attentes.
Mettre à jour vers la version 1.1.7, ou une version corrigée plus récente
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
CVE-2025-12981 is a critical vulnerability allowing unauthenticated attackers to register as administrators in the Listee WordPress theme due to flawed user role validation. It impacts versions 1.0.0–1.1.6 and has a CVSS score of 9.8.
If you are using the Listee WordPress theme versions 1.0.0 through 1.1.6, you are vulnerable. Check your theme version and upgrade immediately.
Upgrade the Listee WordPress theme to version 1.1.7 or later. If upgrading is not possible, temporarily disable user registration.
While no widespread exploitation has been confirmed, the vulnerability's severity and ease of exploitation suggest a medium probability of active attacks.
Refer to the official Listee theme documentation or website for the latest advisory and updates regarding CVE-2025-12981.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.