Platform
wordpress
Component
designthemes-lms
Opgelost in
1.0.5
CVE-2025-13542 beschrijft een Privilege Escalation kwetsbaarheid in de DesignThemes LMS WordPress plugin. Deze kwetsbaarheid stelt ongeauthenticeerde aanvallers in staat om administrator rechten te verkrijgen door de gebruikersrol tijdens registratie te manipuleren. De kwetsbaarheid treft versies 1.0.0 tot en met 1.0.4 van de plugin. Een update naar versie 1.0.5 is beschikbaar om dit probleem te verhelpen.
Deze Privilege Escalation kwetsbaarheid is kritiek omdat ze ongeauthenticeerde aanvallers in staat stelt om direct administrator toegang te verkrijgen tot de WordPress website. Dit betekent dat de aanvaller volledige controle over de website kan overnemen, inclusief het wijzigen van content, het installeren van malware, het stelen van gevoelige data (zoals gebruikersnamen, wachtwoorden en financiële informatie), en het compromitteren van andere systemen die verbinding maken met de website. De impact is vergelijkbaar met een volledige website-overname, wat kan leiden tot aanzienlijke financiële en reputatieschade. De mogelijkheid om administrator rechten te verkrijgen zonder authenticatie maakt deze kwetsbaarheid bijzonder gevaarlijk.
Deze kwetsbaarheid is openbaar bekend en de impact is hoog vanwege de directe mogelijkheid tot administrator toegang. Er zijn momenteel geen publieke exploit codes bekend, maar de eenvoud van de kwetsbaarheid maakt het waarschijnlijk dat er snel exploits beschikbaar komen. Het is aan te raden om de website te beveiligen en te monitoren op verdachte activiteiten. De kwetsbaarheid is gepubliceerd op 2025-12-02.
WordPress sites utilizing the DesignThemes LMS plugin, particularly those running versions 1.0.0 through 1.0.4, are at significant risk. Shared hosting environments where multiple websites share the same server are especially vulnerable, as a compromise of one site could potentially lead to the compromise of others. Sites with legacy WordPress configurations or those lacking robust security practices are also at higher risk.
• wordpress / composer / npm:
grep -r 'dtlms_register_user_front_end' /var/www/html/wp-content/plugins/designthemes-lms/• wordpress / composer / npm:
wp plugin list --status=inactive | grep designthemes-lms• wordpress / composer / npm:
wp plugin update designthemes-lms --all• generic web: Check WordPress plugin directory for updated version of DesignThemes LMS.
disclosure
Exploit Status
EPSS
0.15% (35% percentiel)
CISA SSVC
CVSS-vector
De primaire mitigatie voor CVE-2025-13542 is het updaten van de DesignThemes LMS plugin naar versie 1.0.5 of hoger. Indien een directe upgrade niet mogelijk is (bijvoorbeeld door compatibiliteitsproblemen met andere plugins), overweeg dan tijdelijke maatregelen zoals het beperken van de beschikbare rollen tijdens registratie via een WordPress filter. Controleer ook de WordPress access logs op verdachte registratie pogingen met de 'administrator' rol. Implementeer een Web Application Firewall (WAF) met regels die pogingen tot het manipuleren van de gebruikersrol tijdens registratie blokkeren. Na de upgrade, controleer de gebruikersaccounts om te bevestigen dat er geen ongeautoriseerde administrator accounts zijn aangemaakt.
Update naar versie 1.0.5, of een nieuwere gepatchte versie
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
CVE-2025-13542 is a critical vulnerability allowing unauthenticated attackers to gain administrator access to WordPress sites using the DesignThemes LMS plugin by exploiting a flaw in user registration.
If you are using DesignThemes LMS versions 1.0.0 through 1.0.4 on your WordPress site, you are potentially affected by this vulnerability.
Upgrade the DesignThemes LMS plugin to version 1.0.5 or later to resolve the vulnerability. Consider temporary workarounds if immediate upgrade is not possible.
While no active exploitation has been confirmed, the vulnerability's ease of exploitation suggests a medium probability of exploitation and active monitoring is recommended.
Refer to the DesignThemes LMS website and WordPress plugin repository for the official advisory and update information.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.