Platform
wordpress
Component
javo-core
Opgelost in
3.0.1
CVE-2025-0177 beschrijft een privilege escalatie kwetsbaarheid in de Javo Core WordPress plugin. Deze kwetsbaarheid stelt ongeauthenticeerde aanvallers in staat om verhoogde privileges te verkrijgen, waardoor ze de controle over de WordPress website kunnen overnemen. De kwetsbaarheid treft versies van de plugin tot en met 3.0.0.080. Een fix is beschikbaar in een recentere versie van de plugin.
De impact van deze kwetsbaarheid is significant. Een succesvolle exploitatie stelt een aanvaller in staat om een account aan te maken met administrator rechten, waardoor ze volledige controle over de WordPress website verkrijgen. Dit omvat de mogelijkheid om bestanden te wijzigen, data te verwijderen, kwaadaardige code te injecteren en de website te gebruiken voor aanvallen op andere systemen. De kwetsbaarheid is vergelijkbaar met andere privilege escalatie kwetsbaarheden in WordPress plugins, waarbij een aanvaller een laag niveau account gebruikt om toegang te krijgen tot gevoelige functies.
Deze kwetsbaarheid is openbaar bekend en de publicatie datum is 2025-03-08. Er zijn momenteel geen bekende actieve campagnes gericht op deze specifieke kwetsbaarheid, maar de ernst van de kwetsbaarheid maakt het een aantrekkelijk doelwit voor aanvallers. De kwetsbaarheid is niet opgenomen in de CISA KEV catalogus op het moment van schrijven.
WordPress websites using the Javo Core plugin, particularly those with default or weak security configurations, are at significant risk. Shared hosting environments where multiple websites share the same server infrastructure are also vulnerable, as a compromise of one site could potentially lead to the compromise of others.
• wordpress / composer / npm:
wp plugin list | grep javo-core• wordpress / composer / npm:
wp plugin update javo-core --all• wordpress / composer / npm:
wp plugin status javo-core• wordpress / composer / npm:
wp user list --field=role• wordpress / composer / npm:
wp user search --role=administratordisclosure
Exploit Status
EPSS
0.73% (73% percentiel)
CISA SSVC
CVSS-vector
De primaire mitigatie is het upgraden van de Javo Core plugin naar de nieuwste beschikbare versie. Controleer de WordPress plugin directory voor de meest recente versie. Indien een upgrade niet direct mogelijk is, overweeg dan tijdelijke maatregelen zoals het beperken van de roltoewijzing bij nieuwe accountregistraties via WordPress configuratie. Implementeer een Web Application Firewall (WAF) met regels om pogingen tot accountcreatie met verhoogde privileges te detecteren en blokkeren. Controleer de WordPress logs op verdachte accountcreatie pogingen.
Update de Javo Core plugin naar een gecorrigeerde versie. De kwetsbaarheid stelt niet-geauthenticeerde gebruikers in staat om administrator rollen toe te wijzen, waardoor het cruciaal is om de update toe te passen om het risico op privilege escalatie te mitigeren.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
CVE-2025-0177 is a critical vulnerability in the Javo Core WordPress plugin that allows unauthenticated attackers to gain administrator privileges by creating new user accounts, granting them full control over the website.
If you are using Javo Core plugin versions 0 through 3.0.0.080, you are potentially affected by this vulnerability. Check your plugin version and upgrade as soon as a patch is available.
The recommended fix is to upgrade to a patched version of the Javo Core plugin. Until a patch is released, disable user registration or implement a WAF to block suspicious account creation attempts.
While active exploitation is not yet confirmed, the vulnerability's critical severity and ease of exploitation suggest it is likely to be targeted soon. Monitor security advisories and threat intelligence feeds.
Refer to the Javo Core plugin's official website or WordPress plugin repository for the latest security advisory and patch information.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.