Platform
wordpress
Component
findall-listing
Opgelost in
1.0.6
CVE-2025-13538 beschrijft een Privilege Escalation kwetsbaarheid in de FindAll Listing WordPress plugin. Deze kwetsbaarheid stelt ongeauthenticeerde aanvallers in staat om administrator rechten te verkrijgen, waardoor ze volledige controle over de WordPress site kunnen overnemen. De kwetsbaarheid treft versies 1.0.0 tot en met 1.0.5 van de plugin. Een upgrade naar versie 1.1 is beschikbaar om dit probleem te verhelpen.
De impact van deze Privilege Escalation kwetsbaarheid is significant. Een succesvolle exploitatie stelt een aanvaller in staat om onbeperkte administrator toegang te verkrijgen tot de WordPress site. Dit omvat de mogelijkheid om bestanden te wijzigen, gebruikersaccounts te beheren, content te verwijderen of te wijzigen, en potentieel toegang te krijgen tot gevoelige gegevens die op de site zijn opgeslagen. De vereiste dat de FindAll Membership plugin ook geactiveerd is, beperkt de scope, maar maakt de kwetsbaarheid nog steeds zeer gevaarlijk voor omgevingen waar beide plugins worden gebruikt. Dit soort kwetsbaarheden kunnen leiden tot volledige compromittering van de website en de daaraan gekoppelde data.
Op dit moment is er geen informatie beschikbaar over actieve exploitatiecampagnes gericht op CVE-2025-13538. Er zijn ook geen publieke proof-of-concept exploits bekend. De kwetsbaarheid is opgenomen in het NVD (National Vulnerability Database) en gepubliceerd op 2025-11-27. De CVSS score van 9.8 (CRITICAL) geeft aan dat de kwetsbaarheid ernstig is en snel moet worden aangepakt.
WordPress sites utilizing both the FindAll Listing and FindAll Membership plugins, particularly those with legacy configurations or those that haven't implemented robust user access controls, are at significant risk. Shared hosting environments where multiple WordPress sites share the same server resources are also vulnerable, as a compromise of one site could potentially lead to the compromise of others.
• wordpress / plugin: Use wp-cli plugin update to check the installed version of FindAll Listing.
• wordpress / plugin: Check the wp-config.php file for any unusual configurations related to user roles or registration parameters.
• wordpress / plugin: Search plugin files for the findalllistinguserregistrationadditional_params function and its usage.
• generic web: Monitor WordPress access logs for POST requests to the user registration endpoint with suspicious parameters, particularly those attempting to set the user role to 'administrator'.
grep -i 'administrator' /var/log/apache2/access.log | grep 'wp-login.php'disclosure
Exploit Status
EPSS
0.15% (35% percentiel)
CISA SSVC
CVSS-vector
De primaire mitigatie voor CVE-2025-13538 is het upgraden van de FindAll Listing plugin naar versie 1.1 of hoger. Indien een directe upgrade problemen veroorzaakt, overweeg dan het tijdelijk deactiveren van de plugin om de kwetsbaarheid te verminderen. Als deactiveren geen optie is, controleer dan de FindAll Membership plugin configuratie om te zien of er mogelijkheden zijn om de registratie functionaliteit te beperken. Er zijn geen specifieke WAF regels of detectie signatures bekend, maar het monitoren van WordPress login pogingen en ongebruikelijke gebruikersactiviteit is aan te raden. Na de upgrade, controleer de gebruikersrollen en rechten om te bevestigen dat er geen ongeautoriseerde administrator accounts zijn aangemaakt.
Update naar versie 1.1, of een nieuwere gepatchte versie
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
CVE-2025-13538 is a critical vulnerability in the FindAll Listing WordPress plugin allowing unauthenticated attackers to gain administrator access by manipulating user registration roles, requiring the FindAll Membership plugin to be active.
You are affected if you are using FindAll Listing plugin versions 1.0.0 through 1.0.5 and also have the FindAll Membership plugin installed.
Upgrade the FindAll Listing plugin to version 1.1 or later. If immediate upgrade is not possible, disable the plugin until an upgrade can be performed.
As of the current date, there are no confirmed reports of active exploitation, but the vulnerability's severity and ease of exploitation suggest it could become a target.
Refer to the FindAll Listing plugin's official website or WordPress plugin repository for the latest advisory and update information.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.