Platform
wordpress
Component
flex-store-user
Opgelost in
1.1.1
CVE-2025-13619 represents a critical Privilege Escalation vulnerability discovered in the Flex Store Users plugin for WordPress. This flaw allows unauthenticated attackers to bypass role restrictions during user registration, potentially granting them administrator privileges. The vulnerability impacts versions 0.0.0 through 1.1.0, and a fix is expected to be released by the vendor.
Deze Privilege Escalation kwetsbaarheid maakt het mogelijk voor een ongeauthenticeerde aanvaller om administratorrechten te verkrijgen op een WordPress website. Dit geeft de aanvaller volledige controle over de website, inclusief de mogelijkheid om data te wijzigen, te verwijderen of te stelen, en om kwaadaardige code uit te voeren. De kwetsbaarheid kan worden uitgebuit door de 'administrator' rol te leveren tijdens het registratieproces. Indien de Flex Store Seller plugin ook geactiveerd is, kan de kwetsbaarheid worden uitgebuit met de 'fs_type' parameter, wat de exploitatie verder vereenvoudigt. De impact is significant, aangezien een aanvaller de volledige website kan overnemen.
Deze kwetsbaarheid is openbaar bekend en de details zijn beschikbaar. Er is geen informatie over actieve campagnes die deze specifieke kwetsbaarheid uitbuiten, maar de ernst (CVSS 9.8) vereist onmiddellijke aandacht. De kwetsbaarheid is opgenomen in de NVD database en is mogelijk ook opgenomen in CISA KEV catalogus. Er zijn publieke proof-of-concept exploits beschikbaar, wat de kans op uitbuiting vergroot.
WordPress sites utilizing the Flex Store Users plugin, particularly those running versions 0.0.0 through 1.1.0, are at significant risk. Shared hosting environments where plugin updates are not managed by the site owner are especially vulnerable. Sites that also have the Flex Store Seller plugin installed are at increased risk due to the exploitation via the 'fs_type' parameter.
• wordpress / composer / npm:
grep -r 'fsUserHandle::signup' /var/www/html/wp-content/plugins/flex-store-users/• wordpress / composer / npm:
grep -r 'fsSellerRole::add_role_seller' /var/www/html/wp-content/plugins/flex-store-users/• wordpress / composer / npm:
wp plugin list | grep 'flex-store-users'• wordpress / composer / npm:
wp plugin status flex-store-usersdisclosure
Exploit Status
EPSS
0.15% (35% percentiel)
CISA SSVC
CVSS-vector
De primaire mitigatie is het upgraden van de Flex Store Users plugin naar een beveiligde versie. Controleer de WordPress plugin directory of de website van de ontwikkelaar voor de meest recente versie. Indien een upgrade momenteel niet mogelijk is, kan een tijdelijke workaround bestaan uit het beperken van de beschikbare rollen tijdens registratie via code-aanpassingen. Implementeer een Web Application Firewall (WAF) met regels die pogingen tot het aanmaken van gebruikers met de 'administrator' rol blokkeren. Monitor WordPress logs op verdachte registratiepogingen. Na de upgrade, controleer de gebruikersaccounts om te bevestigen dat er geen ongeautoriseerde administratoraccounts zijn aangemaakt.
Geen bekende patch beschikbaar. Bestudeer de details van de kwetsbaarheid grondig en pas mitigaties toe op basis van de risicotolerantie van uw organisatie. Het kan het beste zijn om de getroffen software te verwijderen en een vervanging te vinden.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
CVE-2025-13619 is a critical vulnerability in the Flex Store Users WordPress plugin allowing unauthenticated attackers to gain administrator access by exploiting flawed role assignment during user registration.
If you are using the Flex Store Users plugin for WordPress in versions 0.0.0 through 1.1.0, you are potentially affected by this vulnerability. Check your plugin versions immediately.
The recommended fix is to upgrade the Flex Store Users plugin to a patched version as soon as it becomes available. Temporarily disabling the plugin is a short-term workaround.
While no active exploitation campaigns have been confirmed, the vulnerability's severity and ease of exploitation make it a likely target for attackers.
Refer to the official Flex Store Users plugin website or WordPress plugin repository for updates and advisories regarding CVE-2025-13619.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.