Plateforme
wordpress
Composant
jay-login-register
Corrigé dans
2.6.04
La vulnérabilité CVE-2025-15100 affecte le plugin JAY Login & Register pour WordPress. Elle permet une élévation de privilèges, permettant à un attaquant authentifié, même avec un accès de niveau Abonné, de s'accorder les droits d'administrateur. Cette faille est présente dans toutes les versions jusqu'à et y compris 2.6.03. La mise à jour vers la version 2.6.04 corrige ce problème.
Cette vulnérabilité représente un risque significatif pour les sites WordPress utilisant le plugin JAY Login & Register. Un attaquant ayant un compte utilisateur standard (Abonné ou supérieur) peut exploiter cette faille pour obtenir un contrôle administratif complet sur le site. Cela inclut la capacité de modifier le contenu, d'installer des logiciels malveillants, de voler des données sensibles des utilisateurs et de compromettre l'ensemble du serveur. L'élévation de privilèges peut être utilisée pour lancer des attaques plus sophistiquées, telles que la modification de la base de données ou l'accès à des fichiers sensibles. Le plugin étant largement utilisé, le nombre de sites potentiellement vulnérables est important.
La vulnérabilité CVE-2025-15100 a été rendue publique le 2026-02-08. Il n'y a pas d'indications d'une inclusion dans le KEV de CISA à ce jour. Des preuves de concept (PoC) publiques sont susceptibles d'émerger rapidement en raison de la simplicité de l'exploitation. La vulnérabilité est relativement facile à exploiter, ce qui augmente le risque d'attaques automatisées.
WordPress websites utilizing the JAY Login & Register plugin, particularly those running older versions (0.0.0–2.6.03), are at significant risk. Shared hosting environments where plugin updates are not consistently managed are especially vulnerable, as are sites with weak password policies allowing easy compromise of Subscriber accounts.
• wordpress / composer / npm:
grep -r 'jay_panel_ajax_update_profile' /var/www/html/wp-content/plugins/jay-login-register/• wordpress / composer / npm:
wp plugin list --status=active | grep 'jay-login-register'• wordpress / composer / npm:
wp plugin version jay-login-registerdisclosure
Statut de l'Exploit
EPSS
0.02% (percentile 5%)
CISA SSVC
Vecteur CVSS
La solution la plus efficace est de mettre à jour le plugin JAY Login & Register vers la version 2.6.04 ou supérieure. En attendant, des mesures d'atténuation peuvent être mises en place. Un pare-feu applicatif web (WAF) peut être configuré pour bloquer les requêtes suspectes ciblant la fonction 'jaypanelajaxupdateprofile'. Il est également possible de restreindre les permissions des utilisateurs Abonnés, bien que cela puisse affecter la fonctionnalité du site. Après la mise à jour, vérifiez l'intégrité du plugin en comparant son hachage SHA256 avec celui fourni par le développeur.
Mettre à jour vers la version 2.6.04, ou une version corrigée plus récente
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
CVE-2025-15100 is a vulnerability in the JAY Login & Register WordPress plugin allowing authenticated attackers to elevate privileges to administrator level. It affects versions 0.0.0–2.6.03 and has a CVSS score of 8.8 (HIGH).
You are affected if your WordPress site uses the JAY Login & Register plugin and is running version 2.6.03 or earlier. Check your plugin version immediately.
Upgrade the JAY Login & Register plugin to version 2.6.04 or later. If an upgrade is not immediately possible, consider temporary workarounds like restricting access to the vulnerable function.
As of now, there are no publicly known active exploitation campaigns for CVE-2025-15100, but the vulnerability's ease of exploitation warrants vigilance.
Refer to the plugin developer's website or WordPress plugin repository for the official advisory and update information regarding CVE-2025-15100.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.