Plateforme
wordpress
Composant
flex-store-user
Corrigé dans
1.1.1
La vulnérabilité CVE-2025-13619 concerne une élévation de privilèges critique dans le plugin WordPress Flex Store Users, affectant les versions de 0.0.0 à 1.1.0. Cette faille permet à un attaquant non authentifié d'obtenir un accès administrateur au site web. La vulnérabilité réside dans la manière dont le plugin gère les rôles utilisateur lors de l'inscription, permettant de contourner les restrictions de rôle. Une mise à jour vers une version corrigée est recommandée.
Cette vulnérabilité permet à un attaquant non authentifié de contourner les mécanismes de contrôle d'accès et d'obtenir un accès administrateur complet au site WordPress. Cela signifie qu'ils peuvent modifier le contenu du site, installer des logiciels malveillants, voler des données sensibles des utilisateurs (informations de connexion, données personnelles), et compromettre l'ensemble de l'infrastructure. L'exploitation réussie de cette vulnérabilité peut entraîner une prise de contrôle totale du site web et de ses données. L'activation du plugin Flex Store Seller aggrave la situation, car elle permet l'exploitation via le paramètre 'fs_type'.
Cette vulnérabilité a été publiée le 20 décembre 2025. Il n'y a pas d'indication d'exploitation active à ce jour, mais la sévérité critique de la vulnérabilité et la facilité d'exploitation potentielle en font une cible attrayante pour les attaquants. Il n'est pas listé sur le KEV à ce jour. Des preuves de concept publiques sont susceptibles d'émerger rapidement.
WordPress sites utilizing the Flex Store Users plugin, particularly those running versions 0.0.0 through 1.1.0, are at significant risk. Shared hosting environments where plugin updates are not managed by the site owner are especially vulnerable. Sites that also have the Flex Store Seller plugin installed are at increased risk due to the exploitation via the 'fs_type' parameter.
• wordpress / composer / npm:
grep -r 'fsUserHandle::signup' /var/www/html/wp-content/plugins/flex-store-users/• wordpress / composer / npm:
grep -r 'fsSellerRole::add_role_seller' /var/www/html/wp-content/plugins/flex-store-users/• wordpress / composer / npm:
wp plugin list | grep 'flex-store-users'• wordpress / composer / npm:
wp plugin status flex-store-usersdisclosure
Statut de l'Exploit
EPSS
0.15% (percentile 35%)
CISA SSVC
Vecteur CVSS
La solution la plus efficace est de mettre à jour le plugin Flex Store Users vers une version corrigée dès que possible. En attendant, une mesure d'atténuation consiste à restreindre les rôles utilisateur disponibles lors de l'inscription via des modifications de code personnalisées ou des plugins de sécurité WordPress. Il est également recommandé de désactiver temporairement le plugin Flex Store Seller si possible. Surveillez les logs du serveur WordPress pour détecter toute activité suspecte liée à l'inscription d'utilisateurs avec des rôles non autorisés.
Aucun correctif connu n'est disponible. Veuillez examiner en profondeur les détails de la vulnérabilité et mettre en œuvre des mesures d'atténuation en fonction de la tolérance au risque de votre organisation. Il peut être préférable de désinstaller le logiciel affecté et de trouver un remplacement.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
CVE-2025-13619 is a critical vulnerability in the Flex Store Users WordPress plugin allowing unauthenticated attackers to gain administrator access by exploiting flawed role assignment during user registration.
If you are using the Flex Store Users plugin for WordPress in versions 0.0.0 through 1.1.0, you are potentially affected by this vulnerability. Check your plugin versions immediately.
The recommended fix is to upgrade the Flex Store Users plugin to a patched version as soon as it becomes available. Temporarily disabling the plugin is a short-term workaround.
While no active exploitation campaigns have been confirmed, the vulnerability's severity and ease of exploitation make it a likely target for attackers.
Refer to the official Flex Store Users plugin website or WordPress plugin repository for updates and advisories regarding CVE-2025-13619.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.