Plateforme
wordpress
Composant
opal-estate-pro
Corrigé dans
1.7.6
Une vulnérabilité d'élévation de privilèges a été découverte dans le plugin Opal Estate Pro pour WordPress, utilisé avec le thème FullHouse - Real Estate Responsive WordPress Theme. Cette faille permet à des attaquants non authentifiés d'attribuer un rôle arbitraire, y compris le rôle Administrateur, lors de l'inscription d'un nouvel utilisateur. Les versions affectées sont comprises entre 1.0.0 et 1.7.5 inclus. Une correction est disponible dans la version 1.7.6.
L'exploitation réussie de cette vulnérabilité permet à un attaquant non authentifié de contourner les contrôles d'accès et d'obtenir un contrôle total sur le site WordPress. En attribuant le rôle Administrateur à un nouvel utilisateur, l'attaquant peut accéder à toutes les fonctionnalités du site, modifier le contenu, installer des plugins malveillants, et potentiellement compromettre l'ensemble de l'infrastructure. Cette vulnérabilité est particulièrement préoccupante car elle ne nécessite aucune authentification préalable, ce qui la rend facilement exploitable. Elle pourrait être exploitée pour injecter du code malveillant, voler des données sensibles, ou même prendre le contrôle du serveur web sous-jacent.
Cette vulnérabilité a été publiée le 1er juillet 2025. Il n'y a pas d'indication d'exploitation active à ce jour, mais la simplicité de l'exploitation et la gravité de l'impact suggèrent qu'elle pourrait devenir une cible privilégiée pour les attaquants. La vulnérabilité n'a pas encore été ajoutée au catalogue KEV de CISA.
Websites utilizing the FullHouse - Real Estate Responsive WordPress Theme and the Opal Estate Pro plugin are at immediate risk. Shared hosting environments are particularly vulnerable, as a compromise of one site could potentially impact others on the same server. Organizations relying on WordPress for critical business functions or handling sensitive user data should prioritize remediation.
• wordpress / composer / npm:
grep -r 'on_register_user' /var/www/html/wp-content/plugins/opal-estate-pro/• wordpress / composer / npm:
wp plugin list --status=inactive | grep opal-estate-pro• wordpress / composer / npm:
wp plugin list | grep opal-estate-prodisclosure
Statut de l'Exploit
EPSS
23.61% (percentile 96%)
CISA SSVC
Vecteur CVSS
La solution recommandée est de mettre à jour immédiatement le plugin Opal Estate Pro vers la version 1.7.6 ou supérieure. En attendant, des mesures d'atténuation peuvent être mises en œuvre. Il est possible de restreindre les rôles disponibles lors de l'inscription via des modifications du code du plugin, bien que cela nécessite une expertise technique. L'utilisation d'un pare-feu applicatif web (WAF) peut également aider à bloquer les tentatives d'exploitation en filtrant les requêtes malveillantes. Surveillez attentivement les journaux d'accès et d'erreurs du serveur WordPress pour détecter toute activité suspecte.
Mettez à jour le plugin Opal Estate Pro vers une version corrigée (supérieure à 1.7.5) pour atténuer la vulnérabilité d'escalade de privilèges. Vérifiez la page du plugin sur WordPress.org ou le site web du développeur pour obtenir la dernière version. Assurez-vous de faire une sauvegarde de votre site web avant de mettre à jour tout plugin.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
CVE-2025-6934 is a critical vulnerability in the Opal Estate Pro WordPress plugin allowing unauthenticated attackers to escalate privileges to Administrator during user registration, potentially leading to full site control.
You are affected if you are using Opal Estate Pro versions 1.0.0 through 1.7.5 within your WordPress installation. Immediately check your plugin versions.
Upgrade the Opal Estate Pro plugin to version 1.7.6 or later to resolve this privilege escalation vulnerability. If immediate upgrade is not possible, disable the plugin.
While no active exploitation has been confirmed, the ease of exploitation suggests a high probability of attacks. Monitor security advisories and threat intelligence.
Refer to the official Opal Estate Pro plugin documentation and WordPress plugin repository for the latest advisory and update information.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.