Plateforme
wordpress
Composant
tiare-membership
Corrigé dans
1.2.1
Le plugin Tiare Membership pour WordPress présente une vulnérabilité d'élévation de privilèges. Cette faille permet à un attaquant non authentifié d'attribuer le rôle d'administrateur lors du processus d'inscription, ce qui lui confère un contrôle total sur le site. Les versions affectées sont les versions 1.0.0 à 1.2 incluses. La correction est disponible dans la version 1.3.
Cette vulnérabilité d'élévation de privilèges est extrêmement critique car elle permet à un attaquant non authentifié de contourner les mécanismes d'authentification et d'obtenir un accès administrateur complet au site WordPress. Un attaquant pourrait ainsi modifier le contenu du site, installer des logiciels malveillants, voler des données sensibles des utilisateurs (informations de connexion, données personnelles, informations financières), ou même prendre le contrôle total du serveur. L'impact est amplifié si le site WordPress héberge des données sensibles ou est utilisé pour des transactions financières. Cette faille exploite une absence de validation des rôles utilisateur lors de l'inscription, permettant une attribution arbitraire de privilèges.
Cette vulnérabilité a été publiée le 27 novembre 2025. Il n'y a pas d'indications d'une exploitation active à ce jour, mais la sévérité critique de la vulnérabilité et la facilité potentielle d'exploitation suggèrent qu'elle pourrait devenir une cible pour les attaquants. La vulnérabilité n'est pas encore répertoriée sur le KEV de CISA. Des preuves de concept publiques (PoC) pourraient émerger, augmentant le risque d'exploitation.
WordPress websites utilizing the Tiare Membership plugin, particularly those with limited security hardening or those running older, unpatched versions of the plugin, are at significant risk. Shared hosting environments where multiple websites share the same server resources are also at increased risk, as a compromise of one site could potentially lead to the compromise of others.
• wordpress / plugin: Use wp-cli to check the plugin version:
wp plugin list | grep tiare-membership• wordpress / plugin: Search plugin files for the vulnerable function tiaremembershipinitrestapi_register using grep:
grep -r 'tiare_membership_init_rest_api_register' /path/to/wp-content/plugins/tiare-membership/• wordpress / logs: Monitor WordPress access logs for POST requests to /wp-json/tiare-membership/v1/register with suspicious parameters, particularly those attempting to set the role to 'administrator'.
• generic web: Check for unusual user registration patterns via curl:
curl -X POST -d 'username=test&[email protected]&role=administrator' http://your-wordpress-site.com/wp-json/tiare-membership/v1/registerdisclosure
patch
Statut de l'Exploit
EPSS
0.15% (percentile 35%)
CISA SSVC
Vecteur CVSS
La mitigation principale consiste à mettre à jour le plugin Tiare Membership vers la version 1.3 ou supérieure, qui corrige cette vulnérabilité. Si la mise à jour n'est pas immédiatement possible, une solution temporaire consiste à restreindre l'accès à l'inscription via des règles de pare-feu applicatif (WAF) ou des règles de proxy, en bloquant les tentatives d'inscription avec le rôle 'administrator'. Il est également recommandé de surveiller les journaux d'accès et d'erreurs du serveur WordPress pour détecter toute activité suspecte liée à l'inscription. Après la mise à jour, vérifiez que l'inscription ne permet plus l'attribution du rôle d'administrateur en tentant une inscription avec ce rôle.
Mettre à jour vers la version 1.3, ou une version corrigée plus récente
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
CVE-2025-13540 is a critical vulnerability in the Tiare Membership WordPress plugin allowing unauthenticated attackers to gain administrator access by exploiting a flaw in user registration.
If you are using Tiare Membership plugin versions 1.0.0 through 1.2, you are vulnerable. Upgrade to version 1.3 or later to mitigate the risk.
The recommended fix is to upgrade the Tiare Membership plugin to version 1.3 or later. If immediate upgrade is not possible, restrict user registration to trusted administrators.
While no public exploits are currently known, the vulnerability's ease of exploitation suggests a potential for active exploitation. Monitor your systems closely.
Refer to the official Tiare Membership plugin documentation and WordPress plugin repository for the latest advisory and update information.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.