Platform
wordpress
Component
edukart-pro
Opgelost in
1.0.4
CVE-2025-13559 beschrijft een Privilege Escalation kwetsbaarheid in de EduKart Pro WordPress plugin. Deze kwetsbaarheid stelt ongeauthenticeerde aanvallers in staat om administrator rechten te verkrijgen. De kwetsbaarheid treft versies 1.0.0 tot en met 1.0.3 van de plugin. Een patch is beschikbaar om dit probleem te verhelpen.
Deze Privilege Escalation kwetsbaarheid is kritiek omdat een aanvaller zonder authenticatie administrator toegang kan verkrijgen tot een WordPress website. Dit stelt de aanvaller in staat om willekeurige code uit te voeren, data te wijzigen of te verwijderen, gebruikersaccounts te beheren en de website te compromitteren. De impact is vergelijkbaar met het verkrijgen van volledige controle over de website. Een succesvolle exploitatie kan leiden tot dataverlies, reputatieschade en financiële verliezen.
De kwetsbaarheid is openbaar bekend gemaakt op 2025-11-25. Er zijn momenteel geen publieke proof-of-concept exploits beschikbaar, maar de ernst van de kwetsbaarheid maakt actieve exploitatie waarschijnlijk. Het is aan te raden om de website te monitoren op verdachte activiteiten en de plugin direct te patchen.
WordPress sites utilizing the EduKart Pro plugin, particularly those with limited security hardening or those running older, unpatched versions, are at significant risk. Shared hosting environments where multiple websites share the same server infrastructure are also at increased risk, as a compromise of one site could potentially lead to the compromise of others.
• wordpress / plugin: Use wp-cli plugin list to identify installations of EduKart Pro. Check plugin files (e.g., edukartproregisteruserfront_end.php) for the vulnerable code.
• generic web: Monitor WordPress access logs for POST requests to the registration endpoint with parameters attempting to set the user role to 'administrator'.
• wordpress / composer: Run composer audit within the EduKart Pro plugin directory to check for known vulnerabilities.
• wordpress / plugin: Use a WordPress security plugin to scan for privilege escalation vulnerabilities and monitor for suspicious user registration attempts.
disclosure
Exploit Status
EPSS
0.15% (35% percentiel)
CISA SSVC
CVSS-vector
De primaire mitigatie is het upgraden van de EduKart Pro plugin naar de meest recente versie, zodra deze beschikbaar is. Indien een directe upgrade niet mogelijk is, overweeg dan tijdelijke maatregelen zoals het beperken van de toegestane gebruikersrollen tijdens registratie via WordPress-configuratiebestanden of een plugin die registratieprocessen controleert. Controleer ook de WordPress plugin directory op updates en bekende exploits. Na de upgrade, verifieer de fix door te proberen een nieuwe gebruiker te registreren met de 'administrator' rol en te controleren of dit niet lukt.
Geen bekende patch beschikbaar. Bestudeer de details van de kwetsbaarheid grondig en pas mitigaties toe op basis van de risicotolerantie van uw organisatie. Het kan het beste zijn om de getroffen software te verwijderen en een vervanging te zoeken.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
CVE-2025-13559 is a critical vulnerability allowing unauthenticated attackers to gain administrator access to WordPress sites using the EduKart Pro plugin by exploiting a flaw in user registration.
If you are using EduKart Pro versions 1.0.0 through 1.0.3 on your WordPress site, you are potentially affected by this vulnerability.
Upgrade to a patched version of the EduKart Pro plugin as soon as it becomes available. Until then, disable the plugin or implement a workaround to restrict user roles during registration.
While no public exploits are currently known, the vulnerability's severity and ease of exploitation suggest it is likely to be targeted by malicious actors.
Refer to the EduKart Pro plugin's official website or WordPress plugin repository for updates and advisories regarding this vulnerability.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.