Plateforme
wordpress
Composant
designthemes-lms
Corrigé dans
1.0.5
La vulnérabilité CVE-2025-13542 concerne une faille de privilèges élevés dans le plugin DesignThemes LMS pour WordPress. Cette faille permet à un attaquant non authentifié d'accéder à des privilèges d'administrateur, compromettant ainsi la sécurité du site web. Elle affecte les versions 1.0.0 à 1.0.4 du plugin. La correction est disponible dans la version 1.0.5.
Cette vulnérabilité est particulièrement critique car elle permet à un attaquant non authentifié de contourner les mécanismes d'authentification et d'obtenir un accès administrateur complet au site WordPress. Un attaquant disposant de ces privilèges peut modifier le contenu du site, installer des logiciels malveillants, voler des données sensibles (informations utilisateur, données financières, etc.) et compromettre l'ensemble de l'infrastructure. L'impact est similaire à celui d'une compromission complète du serveur web, avec des conséquences potentiellement désastreuses pour la réputation et les opérations de l'entreprise. La simplicité de l'exploitation rend cette vulnérabilité particulièrement dangereuse.
Cette vulnérabilité a été rendue publique le 2 décembre 2025. Il n'y a pas d'indication d'une exploitation active à ce jour, mais la simplicité de l'exploitation suggère qu'elle pourrait être rapidement exploitée. La vulnérabilité n'est pas encore répertoriée sur le KEV de CISA. Des preuves de concept publiques sont susceptibles d'émerger rapidement.
WordPress sites utilizing the DesignThemes LMS plugin, particularly those running versions 1.0.0 through 1.0.4, are at significant risk. Shared hosting environments where multiple websites share the same server are especially vulnerable, as a compromise of one site could potentially lead to the compromise of others. Sites with legacy WordPress configurations or those lacking robust security practices are also at higher risk.
• wordpress / composer / npm:
grep -r 'dtlms_register_user_front_end' /var/www/html/wp-content/plugins/designthemes-lms/• wordpress / composer / npm:
wp plugin list --status=inactive | grep designthemes-lms• wordpress / composer / npm:
wp plugin update designthemes-lms --all• generic web: Check WordPress plugin directory for updated version of DesignThemes LMS.
disclosure
Statut de l'Exploit
EPSS
0.15% (percentile 35%)
CISA SSVC
Vecteur CVSS
La mitigation principale consiste à mettre à jour immédiatement le plugin DesignThemes LMS vers la version 1.0.5 ou ultérieure. Si la mise à jour est problématique, envisagez de restaurer une sauvegarde antérieure à l'installation du plugin vulnérable. En attendant la mise à jour, il n'existe pas de correctifs spécifiques, mais vous pouvez renforcer la sécurité de votre site WordPress en limitant les tentatives d'inscription, en utilisant des mots de passe forts et en activant l'authentification à deux facteurs. Après la mise à jour, vérifiez que les rôles utilisateur sont correctement restreints et qu'aucun utilisateur administrateur non autorisé n'a été créé.
Mettre à jour vers la version 1.0.5, ou une version corrigée plus récente
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
CVE-2025-13542 is a critical vulnerability allowing unauthenticated attackers to gain administrator access to WordPress sites using the DesignThemes LMS plugin by exploiting a flaw in user registration.
If you are using DesignThemes LMS versions 1.0.0 through 1.0.4 on your WordPress site, you are potentially affected by this vulnerability.
Upgrade the DesignThemes LMS plugin to version 1.0.5 or later to resolve the vulnerability. Consider temporary workarounds if immediate upgrade is not possible.
While no active exploitation has been confirmed, the vulnerability's ease of exploitation suggests a medium probability of exploitation and active monitoring is recommended.
Refer to the DesignThemes LMS website and WordPress plugin repository for the official advisory and update information.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.