Platform
wordpress
Component
jay-login-register
Opgelost in
2.6.04
CVE-2025-15027 beschrijft een kritieke Privilege Escalation kwetsbaarheid in de JAY Login & Register plugin voor WordPress. Deze kwetsbaarheid stelt ongeauthenticeerde aanvallers in staat om hun privileges te verhogen tot die van een administrator, waardoor ze ongeautoriseerde toegang en controle over de WordPress website kunnen verkrijgen. De kwetsbaarheid treft versies van de plugin van 0.0.0 tot en met 2.6.03. Een patch is beschikbaar in versie 2.6.04.
De impact van deze Privilege Escalation kwetsbaarheid is significant. Een succesvolle exploitatie stelt een aanvaller in staat om volledige controle over de WordPress website te verwerven. Dit omvat de mogelijkheid om gevoelige data te wijzigen of te verwijderen, kwaadaardige code te injecteren, en de website te gebruiken voor verdere aanvallen op andere systemen. De kwetsbaarheid is te wijten aan een onvoldoende beveiligde functie die gebruikersmeta data kan bijwerken, waardoor een aanvaller deze kan misbruiken om administratieve rechten te verkrijgen zonder authenticatie. Dit kan leiden tot een compromittering van de gehele website en de daaraan gekoppelde data.
Op dit moment (2026-02-08) is er geen publieke exploitatie van CVE-2025-15027 bekend. De kwetsbaarheid is opgenomen in de CISA KEV catalogus, wat duidt op een potentieel hoog risico. Er zijn geen bekende actieve campagnes gerelateerd aan deze kwetsbaarheid. Het is echter belangrijk om de plugin zo snel mogelijk te patchen om te voorkomen dat deze wordt misbruikt.
Exploit Status
EPSS
0.05% (16% percentiel)
CISA SSVC
CVSS-vector
De primaire mitigatie voor CVE-2025-15027 is het updaten van de JAY Login & Register plugin naar versie 2.6.04 of hoger. Indien een directe upgrade niet mogelijk is, overweeg dan het tijdelijk uitschakelen van de plugin om het risico te verminderen. Als dit niet mogelijk is, controleer dan de WordPress logbestanden op verdachte activiteiten die wijzen op pogingen tot exploitatie. Implementeer een Web Application Firewall (WAF) met regels die pogingen tot het bijwerken van gebruikersmeta data via de 'jayloginregisterajaxcreatefinaluser' functie blokkeren. Na de upgrade, controleer de gebruikersaccounts en privileges om er zeker van te zijn dat er geen ongeautoriseerde accounts zijn aangemaakt.
Update naar versie 2.6.04, of een nieuwere gepatchte versie
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
CVE-2025-15027 is a critical vulnerability in the JAY Login & Register WordPress plugin allowing unauthenticated users to gain administrator privileges. This can lead to full site compromise.
You are affected if your WordPress site uses the JAY Login & Register plugin and is running version 2.6.03 or earlier. Check your plugin version immediately.
Upgrade the JAY Login & Register plugin to version 2.6.04 or later. If immediate upgrade is not possible, disable the plugin temporarily.
While no active exploitation has been confirmed, the vulnerability's simplicity suggests a high probability of exploitation, and monitoring is recommended.
Refer to the official JAY Login & Register plugin website or WordPress plugin repository for the latest advisory and update information.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.