Platform
wordpress
Component
tiger
Opgelost in
101.2.2
De Tiger WordPress theme vertoont een Privilege Escalation kwetsbaarheid, waardoor geauthenticeerde gebruikers met beperkte rechten hun privileges kunnen verhogen. Deze kwetsbaarheid stelt aanvallers in staat om administratorrechten te verkrijgen, wat potentieel leidt tot ongeautoriseerde toegang tot de WordPress installatie en de bijbehorende data. De kwetsbaarheid treft versies van de Tiger theme tot en met 101.2.1. Een update naar de nieuwste versie is vereist om deze kwetsbaarheid te verhelpen.
Een succesvolle exploitatie van deze Privilege Escalation kwetsbaarheid stelt een aanvaller in staat om de volledige controle over de WordPress website te verwerven. Dit omvat de mogelijkheid om bestanden te wijzigen, gebruikersaccounts aan te maken en te beheren, en de website te gebruiken voor kwaadaardige doeleinden, zoals het verspreiden van malware of het uitvoeren van phishing-aanvallen. De impact is aanzienlijk, aangezien een aanvaller de integriteit en beschikbaarheid van de website kan compromitteren, evenals de gevoelige data die erop is opgeslagen. Het is vergelijkbaar met andere WordPress plugin privilege escalatie kwetsbaarheden die in het verleden zijn aangetroffen, waarbij onvoldoende toegangscontroles de basis vormden voor de aanval.
Deze kwetsbaarheid werd publiekelijk bekendgemaakt op 2025-11-27. Er is momenteel geen informatie beschikbaar over actieve exploits in de wildernis, maar de kwetsbaarheid is eenvoudig te exploiteren en een publiek proof-of-concept kan snel verschijnen. De kwetsbaarheid is niet opgenomen in de CISA KEV catalogus op dit moment. De relatief eenvoudige exploitatie maakt het een potentiële doelwit voor automatische scanners en kwaadwillende actoren.
Websites using the Tiger WordPress theme, particularly those with a large number of Subscriber-level users or those with weak password policies, are at increased risk. Shared hosting environments where multiple websites share the same server resources are also vulnerable if one site is running an unpatched version of the theme.
• wordpress / composer / npm:
grep -r "$user->set_role()" /var/www/html/wp-content/themes/tiger/*• wordpress / composer / npm:
wp plugin list --status=active | grep tiger• wordpress / composer / npm:
wp theme list --status=active | grep tigerdisclosure
Exploit Status
EPSS
0.06% (18% percentiel)
CISA SSVC
CVSS-vector
De primaire mitigatie voor CVE-2025-13680 is het updaten van de Tiger WordPress theme naar de meest recente versie. Controleer de WordPress plugin directory of de officiële website van de theme-ontwikkelaar voor de nieuwste versie. Indien een directe upgrade niet mogelijk is, overweeg dan tijdelijk de toegang tot de WordPress admin interface te beperken tot vertrouwde gebruikers. Implementeer een Web Application Firewall (WAF) met regels die pogingen tot privilege escalatie detecteren en blokkeren. Na de upgrade, controleer de gebruikersrechten en zorg ervoor dat gebruikers alleen de benodigde rechten hebben.
Geen bekende patch beschikbaar. Bestudeer de details van de kwetsbaarheid grondig en pas mitigaties toe op basis van de risicotolerantie van uw organisatie. Het kan het beste zijn om de getroffen software te verwijderen en een vervanging te vinden.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
CVE-2025-13680 is a vulnerability allowing authenticated users to escalate privileges to administrator in the Tiger WordPress theme, potentially granting full control over the website.
You are affected if your WordPress site uses the Tiger theme and is running a version prior to the patch release. Check your theme version and upgrade as soon as a patch is available.
Upgrade the Tiger WordPress theme to the latest version as soon as a patch is released by the theme developer. Until then, restrict user roles and implement WAF rules.
As of the publication date, there is no confirmed active exploitation of CVE-2025-13680, but it's crucial to apply the patch promptly to prevent potential attacks.
Refer to the Tiger WordPress theme developer's website or WordPress.org plugin repository for the official advisory and patch release information.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.