Plateforme
wordpress
Composant
tiger
Corrigé dans
101.2.2
Le thème Tiger pour WordPress présente une vulnérabilité d'élévation de privilèges. Cette faille permet à un attaquant authentifié, disposant d'un accès de niveau Abonné ou supérieur, de modifier son rôle pour devenir administrateur. Les versions concernées sont celles comprises entre 0.0.0 et 101.2.1 incluses. Une mise à jour du thème est nécessaire pour corriger cette vulnérabilité.
Cette vulnérabilité d'élévation de privilèges est particulièrement préoccupante car elle permet à un utilisateur malveillant, déjà authentifié sur le site WordPress, de contourner les contrôles d'accès et d'obtenir un contrôle total sur l'administration du site. L'attaquant pourrait alors modifier le contenu, installer des logiciels malveillants, voler des données sensibles, ou même compromettre l'ensemble du serveur. Le risque est amplifié si le site WordPress héberge des informations confidentielles ou est utilisé pour des transactions financières. Cette faille exploite la fonction $user->set_role() de WordPress, qui permet de modifier le rôle d'un utilisateur, mais sans validation adéquate des permissions.
Cette vulnérabilité a été rendue publique le 27 novembre 2025. Il n'y a pas d'indications d'une exploitation active à grande échelle à ce jour. Aucun PoC public n'a été identifié, mais la simplicité de l'exploitation potentielle suggère qu'il pourrait en émerger rapidement. La vulnérabilité a été ajoutée au catalogue KEV de CISA, indiquant une probabilité d'exploitation potentielle.
Websites using the Tiger WordPress theme, particularly those with a large number of Subscriber-level users or those with weak password policies, are at increased risk. Shared hosting environments where multiple websites share the same server resources are also vulnerable if one site is running an unpatched version of the theme.
• wordpress / composer / npm:
grep -r "$user->set_role()" /var/www/html/wp-content/themes/tiger/*• wordpress / composer / npm:
wp plugin list --status=active | grep tiger• wordpress / composer / npm:
wp theme list --status=active | grep tigerdisclosure
Statut de l'Exploit
EPSS
0.06% (percentile 18%)
CISA SSVC
Vecteur CVSS
La mitigation principale consiste à mettre à jour le thème Tiger vers la dernière version disponible, qui corrige cette vulnérabilité. Si la mise à jour n'est pas immédiatement possible, une solution temporaire consiste à restreindre les permissions des utilisateurs de niveau Abonné ou supérieur, en limitant leur accès aux fonctionnalités sensibles du site. Il est également recommandé de renforcer la sécurité du site WordPress en utilisant des mots de passe forts, en activant l'authentification à deux facteurs, et en effectuant des audits de sécurité réguliers. Vérifiez après la mise à jour que le rôle d'administrateur n'est pas accessible à des utilisateurs non autorisés.
Aucun correctif connu n'est disponible. Veuillez examiner en profondeur les détails de la vulnérabilité et mettre en œuvre des mesures d'atténuation en fonction de la tolérance au risque de votre organisation. Il peut être préférable de désinstaller le logiciel affecté et de trouver un remplacement.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
CVE-2025-13680 is a vulnerability allowing authenticated users to escalate privileges to administrator in the Tiger WordPress theme, potentially granting full control over the website.
You are affected if your WordPress site uses the Tiger theme and is running a version prior to the patch release. Check your theme version and upgrade as soon as a patch is available.
Upgrade the Tiger WordPress theme to the latest version as soon as a patch is released by the theme developer. Until then, restrict user roles and implement WAF rules.
As of the publication date, there is no confirmed active exploitation of CVE-2025-13680, but it's crucial to apply the patch promptly to prevent potential attacks.
Refer to the Tiger WordPress theme developer's website or WordPress.org plugin repository for the official advisory and patch release information.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.