Plateforme
wordpress
Composant
wp-cardealer
Corrigé dans
1.2.17
La vulnérabilité CVE-2025-13764 est une élévation de privilèges critique affectant le plugin WP CarDealer pour WordPress. Cette faille permet à un attaquant non authentifié d'obtenir un accès administrateur au site en manipulant le processus d'inscription. Les versions concernées sont celles comprises entre 0 et 1.2.16 incluses. Une mise à jour vers la version 1.2.17 corrige ce problème.
Cette vulnérabilité représente un risque majeur pour les sites WordPress utilisant le plugin WP CarDealer. Un attaquant peut exploiter cette faille pour contourner l'authentification et obtenir un accès administrateur complet au site. Cela lui permettrait de modifier le contenu, d'installer des logiciels malveillants, de voler des données sensibles (informations sur les clients, données de transaction, etc.) et de compromettre l'ensemble du serveur. L'impact est amplifié par le fait que l'attaquant n'a pas besoin d'informations d'identification valides pour exploiter la vulnérabilité, ce qui la rend particulièrement dangereuse. Cette faille est similaire à d'autres vulnérabilités d'élévation de privilèges dans des plugins WordPress, où une mauvaise gestion des rôles utilisateurs permet à des attaquants non authentifiés d'obtenir un accès non autorisé.
La vulnérabilité CVE-2025-13764 a été rendue publique le 2025-12-11. Il n'y a pas d'indications d'une inscription au KEV (CISA Known Exploited Vulnerabilities) à ce jour. Des preuves de concept (PoC) publiques sont susceptibles d'émerger rapidement en raison de la simplicité de l'exploitation. Il est conseillé de surveiller les forums de sécurité et les sites de partage de code pour détecter l'apparition de PoC et d'exploits.
Websites utilizing the WP CarDealer plugin, particularly those with limited security hardening or those running older, unpatched versions of WordPress, are at significant risk. Shared hosting environments where multiple websites share the same server are also vulnerable, as a compromise of one site could potentially lead to the compromise of others.
• wordpress / composer / npm:
grep -r 'WP_CarDealer_User::process_register' /var/www/html/wp-content/plugins/wp-cardealer/• wordpress / composer / npm:
wp plugin list --status=all | grep 'wp-cardealer'• wordpress / composer / npm:
wp plugin update wp-cardealer --alldisclosure
Statut de l'Exploit
EPSS
0.15% (percentile 35%)
CISA SSVC
Vecteur CVSS
La mitigation principale consiste à mettre à jour immédiatement le plugin WP CarDealer vers la version 1.2.17 ou supérieure. Si la mise à jour provoque des problèmes de compatibilité avec d'autres plugins ou le thème WordPress, envisagez de revenir à une version précédente du plugin (si disponible) ou de désactiver temporairement le plugin. En attendant la mise à jour, il est possible de renforcer la sécurité du site en limitant les rôles utilisateurs disponibles lors de l'inscription via un plugin tiers de gestion des rôles. Vérifiez après la mise à jour que le processus d'inscription ne permet plus l'attribution du rôle 'administrateur' à des utilisateurs non autorisés en tentant une inscription avec ce rôle.
Mettre à jour vers la version 1.2.17, ou une version corrigée plus récente
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
CVE-2025-13764 is a critical vulnerability in the WP CarDealer WordPress plugin allowing unauthenticated attackers to gain administrator access by manipulating user roles during registration.
You are affected if you are using WP CarDealer versions 0.0 through 1.2.16. Immediately check your plugin version and upgrade if necessary.
Upgrade the WP CarDealer plugin to version 1.2.17 or later to resolve the vulnerability. Consider temporary workarounds if immediate upgrade is not possible.
There is currently no confirmed active exploitation, but the vulnerability's simplicity makes it a likely target for attackers.
Refer to the official WP CarDealer plugin website and WordPress.org plugin repository for the latest security advisory and update information.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.