Platform
wordpress
Component
wp-cardealer
Opgelost in
1.2.17
CVE-2025-13764 beschrijft een Privilege Escalation kwetsbaarheid in de WP CarDealer plugin voor WordPress. Deze kwetsbaarheid stelt ongeauthenticeerde aanvallers in staat om administrator rechten te verkrijgen door de 'administrator' rol mee te geven tijdens het registratieproces. De kwetsbaarheid treft alle versies van de plugin tot en met 1.2.16. Een fix is beschikbaar in versie 1.2.17.
Deze Privilege Escalation kwetsbaarheid is kritiek omdat een ongeauthenticeerde aanvaller direct administrator toegang kan verkrijgen tot de WordPress website. Dit geeft de aanvaller volledige controle over de site, inclusief de mogelijkheid om bestanden te wijzigen, gebruikers aan te maken, content te verwijderen en gevoelige data te stelen. De impact is vergelijkbaar met een succesvolle brute-force aanval, maar dan zonder de noodzaak om wachtwoorden te raden. De aanvaller kan de website gebruiken voor kwaadaardige doeleinden, zoals het verspreiden van malware, het uitvoeren van phishing aanvallen of het compromitteren van andere systemen die verbinding maken met de website.
Deze kwetsbaarheid is openbaar bekend en de impact is hoog gezien de eenvoud van de exploitatie. Er zijn momenteel geen bekende actieve campagnes gericht op deze specifieke kwetsbaarheid, maar de openbare aard ervan maakt het waarschijnlijk dat deze in de toekomst zal worden misbruikt. De kwetsbaarheid is opgenomen in het CISA KEV catalogus (KEV status pending). Er zijn publieke proof-of-concept exploits beschikbaar.
Websites utilizing the WP CarDealer plugin, particularly those with limited security hardening or those running older, unpatched versions of WordPress, are at significant risk. Shared hosting environments where multiple websites share the same server are also vulnerable, as a compromise of one site could potentially lead to the compromise of others.
• wordpress / composer / npm:
grep -r 'WP_CarDealer_User::process_register' /var/www/html/wp-content/plugins/wp-cardealer/• wordpress / composer / npm:
wp plugin list --status=all | grep 'wp-cardealer'• wordpress / composer / npm:
wp plugin update wp-cardealer --alldisclosure
Exploit Status
EPSS
0.15% (35% percentiel)
CISA SSVC
CVSS-vector
De primaire mitigatie is het upgraden van de WP CarDealer plugin naar versie 1.2.17 of hoger. Indien een upgrade direct problemen veroorzaakt, overweeg dan een rollback naar een eerdere, niet-aangetaste versie van de plugin. Controleer de WordPress logbestanden op verdachte registraties of pogingen om administrator rechten te verkrijgen. Implementeer een Web Application Firewall (WAF) met regels om verdachte registratie verzoeken te blokkeren. Verifieer na de upgrade dat de registratie functie correct functioneert en geen administrator rechten toekent aan ongeauthenticeerde gebruikers door een testregistratie uit te voeren met een niet-administrator account.
Update naar versie 1.2.17, of een nieuwere gepatchte versie
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
CVE-2025-13764 is a critical vulnerability in the WP CarDealer WordPress plugin allowing unauthenticated attackers to gain administrator access by manipulating user roles during registration.
You are affected if you are using WP CarDealer versions 0.0 through 1.2.16. Immediately check your plugin version and upgrade if necessary.
Upgrade the WP CarDealer plugin to version 1.2.17 or later to resolve the vulnerability. Consider temporary workarounds if immediate upgrade is not possible.
There is currently no confirmed active exploitation, but the vulnerability's simplicity makes it a likely target for attackers.
Refer to the official WP CarDealer plugin website and WordPress.org plugin repository for the latest security advisory and update information.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.