Platform
wordpress
Component
listee
Opgelost in
1.1.7
De Listee WordPress theme is kwetsbaar voor privilege escalatie in versies 1.0.0 tot en met 1.1.6. Deze kwetsbaarheid is het gevolg van een gebrekkige validatiecontrole in de user registration functie van de meegeleverde listee-core plugin. Hierdoor kunnen ongeauthenticeerde aanvallers zich registreren als Administrator door de user_role parameter te manipuleren tijdens het registratieproces. De kwetsbaarheid is verholpen in versie 1.1.7.
Een succesvolle exploitatie van deze kwetsbaarheid stelt een ongeauthenticeerde aanvaller in staat om zich te registreren als Administrator binnen de WordPress installatie. Dit geeft de aanvaller volledige controle over de website, inclusief de mogelijkheid om content te wijzigen, gebruikersaccounts te beheren, plugins te installeren en te verwijderen, en potentieel toegang te krijgen tot gevoelige gegevens. De impact is aanzienlijk, aangezien de aanvaller de website volledig kan overnemen en misbruiken voor kwaadaardige doeleinden, zoals het verspreiden van malware of het uitvoeren van phishing aanvallen. De kwetsbaarheid is vergelijkbaar met andere privilege escalatie kwetsbaarheden in WordPress thema's en plugins, waarbij onvoldoende validatie van gebruikersinvoer de deur openzet voor ongeautoriseerde toegang.
De kwetsbaarheid is openbaar bekend sinds 2026-02-27. Er zijn momenteel geen publieke proof-of-concept exploits beschikbaar, maar de ernst van de kwetsbaarheid en de relatieve eenvoud van de exploitatie maken het waarschijnlijk dat er in de toekomst exploits zullen verschijnen. De KEV status is momenteel onbekend. Er zijn geen meldingen van actieve campagnes bekend.
Websites using the Listee WordPress theme, particularly those running vulnerable versions (1.0.0–1.1.6), are at significant risk. Shared hosting environments where multiple websites share the same server are also at increased risk, as a compromise on one site could potentially lead to lateral movement to others. Sites with weak password policies or disabled user registration are especially vulnerable.
• wordpress / composer / npm:
wp plugin list | grep listee-core• wordpress / composer / npm:
wp plugin update listee-core --version=1.1.7• wordpress / composer / npm:
grep -r 'user_role' /var/www/html/wp-content/plugins/listee-core/• generic web: Check WordPress plugin directory for mentions of the vulnerability and associated indicators.
disclosure
Exploit Status
EPSS
0.02% (6% percentiel)
CISA SSVC
CVSS-vector
De primaire mitigatie is het upgraden van de Listee WordPress theme naar versie 1.1.7 of hoger. Indien een directe upgrade niet mogelijk is, overweeg dan het tijdelijk uitschakelen van de user registration functie via een WordPress plugin of door de listee-core plugin te verwijderen. Controleer de WordPress installatie op verdachte gebruikersaccounts met Administrator rechten die mogelijk door een aanvaller zijn aangemaakt. Implementeer een Web Application Firewall (WAF) met regels om verdachte registratie pogingen te blokkeren, met name pogingen om de user_role parameter te manipuleren. Na de upgrade, controleer de gebruikersaccounts en rechten om te bevestigen dat er geen ongeautoriseerde accounts bestaan.
Update naar versie 1.1.7, of een nieuwere gepatchte versie
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
CVE-2025-12981 is a critical vulnerability allowing unauthenticated attackers to register as administrators in the Listee WordPress theme due to flawed user role validation. It impacts versions 1.0.0–1.1.6 and has a CVSS score of 9.8.
If you are using the Listee WordPress theme versions 1.0.0 through 1.1.6, you are vulnerable. Check your theme version and upgrade immediately.
Upgrade the Listee WordPress theme to version 1.1.7 or later. If upgrading is not possible, temporarily disable user registration.
While no widespread exploitation has been confirmed, the vulnerability's severity and ease of exploitation suggest a medium probability of active attacks.
Refer to the official Listee theme documentation or website for the latest advisory and updates regarding CVE-2025-12981.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.