टाइगर <= 101.2.1 - प्रमाणित (सदस्य+) विशेषाधिकार वृद्धि

यह भेद्यता हमलावरों को वर्डप्रेस साइट पर पूर्ण नियंत्रण प्राप्त करने की अनुमति दे सकती है। प्रशासक विशेषाधिकारों के साथ, हमलावर सामग्री को संशोधित कर सकते हैं, उपयोगकर्ताओं को हटा सकते हैं, प्लगइन्स स्थापित कर सकते हैं और साइट के डेटा को चुरा सकते हैं। यह भेद्यता विशेष रूप से खतरनाक है क्योंकि हमलावर को केवल सब्सक्राइबर स्तर के एक्सेस की आवश्यकता होती है, जो प्राप्त करना अपेक्षाकृत आसान है। हमलावर वर्डप्रेस साइट के डेटा को एन्क्रिप्ट करके फिरौती मांग सकते हैं या साइट को दुर्भावनापूर्ण सामग्री प्रदर्शित करने के लिए उपयोग कर सकते हैं।

Websites using the Tiger WordPress theme, particularly those with a large number of Subscriber-level users or those with weak password policies, are at increased risk. Shared hosting environments where multiple websites share the same server resources are also vulnerable if one site is running an unpatched version of the theme.

• wordpress / composer / npm:

grep -r "$user->set_role()" /var/www/html/wp-content/themes/tiger/*

• wordpress / composer / npm:

wp plugin list --status=active | grep tiger

• wordpress / composer / npm:

wp theme list --status=active | grep tiger

1. 2025-11-27Disclosure

   disclosure

1. आरक्षित2025-11-25
2. प्रकाशित2025-11-27
3. संशोधित2026-04-08
4. EPSS अद्यतन2026-03-23

CVE-2025-13680 को कम करने के लिए, थीम को नवीनतम संस्करण में तुरंत अपडेट करना आवश्यक है। यदि अपडेट करना संभव नहीं है, तो एक वेब एप्लिकेशन फ़ायरवॉल (WAF) का उपयोग करके $user->set_role() फ़ंक्शन के उपयोग को ब्लॉक किया जा सकता है। इसके अतिरिक्त, वर्डप्रेस साइट पर उपयोगकर्ता भूमिकाओं को सीमित करने के लिए एक्सेस नियंत्रण प्लगइन का उपयोग किया जा सकता है। नियमित सुरक्षा ऑडिट और भेद्यता स्कैनिंग भी महत्वपूर्ण हैं। अपडेट के बाद, यह सुनिश्चित करने के लिए कि भेद्यता ठीक हो गई है, एक परीक्षण उपयोगकर्ता के साथ प्रशासक विशेषाधिकारों को बढ़ाने का प्रयास करें।