Platform
wordpress
Component
jay-login-register
Opgelost in
2.6.04
CVE-2025-15100 describes a Privilege Escalation vulnerability within the JAY Login & Register plugin for WordPress. An authenticated attacker with Subscriber access or higher can exploit this flaw to gain administrator privileges. This vulnerability impacts versions 0.0.0 through 2.6.03 of the plugin. A patch has been released in version 2.6.04.
Deze Privilege Escalation kwetsbaarheid maakt het mogelijk voor een aanvaller met een relatief laag gebruikersniveau (Subscriber) om de controle over de WordPress installatie over te nemen. Door de 'jaypanelajaxupdateprofile' functie te misbruiken, kan de aanvaller willekeurige gebruikersmeta-informatie bijwerken, wat resulteert in administrator privileges. Dit kan leiden tot ongeautoriseerde toegang tot gevoelige data, configuratiewijzigingen, en zelfs volledige controle over de website. De impact is aanzienlijk, aangezien een aanvaller de website kan compromitteren en kwaadaardige code kan injecteren.
Op dit moment is er geen informatie beschikbaar over actieve exploitatiecampagnes gericht op deze kwetsbaarheid. Er zijn ook geen publiekelijk beschikbare Proof-of-Concept (PoC) exploits bekend. De kwetsbaarheid is opgenomen in de NVD database en gepubliceerd op 2026-02-08. De ernst van de kwetsbaarheid wordt als HIGH ingeschat, wat duidt op een potentieel significant risico.
WordPress websites utilizing the JAY Login & Register plugin, particularly those running older versions (0.0.0–2.6.03), are at significant risk. Shared hosting environments where plugin updates are not consistently managed are especially vulnerable, as are sites with weak password policies allowing easy compromise of Subscriber accounts.
• wordpress / composer / npm:
grep -r 'jay_panel_ajax_update_profile' /var/www/html/wp-content/plugins/jay-login-register/• wordpress / composer / npm:
wp plugin list --status=active | grep 'jay-login-register'• wordpress / composer / npm:
wp plugin version jay-login-registerdisclosure
Exploit Status
EPSS
0.02% (5% percentiel)
CISA SSVC
CVSS-vector
De primaire mitigatie is het updaten van de JAY Login & Register plugin naar versie 2.6.04 of hoger. Indien een directe upgrade niet mogelijk is, overweeg dan tijdelijke maatregelen zoals het beperken van de rechten van gebruikers met Subscriber-niveau toegang. Controleer de WordPress installatie op verdachte gebruikersaccounts of ongebruikelijke configuratiewijzigingen. Implementeer een Web Application Firewall (WAF) met regels die pogingen tot het misbruiken van de 'jaypanelajaxupdateprofile' functie blokkeren. Na de upgrade, bevestig de correcte werking door in te loggen met een Subscriber-account en te controleren of de privileges niet zijn verhoogd.
Update naar versie 2.6.04, of een nieuwere gepatchte versie
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
CVE-2025-15100 is a vulnerability in the JAY Login & Register WordPress plugin allowing authenticated attackers to elevate privileges to administrator level. It affects versions 0.0.0–2.6.03 and has a CVSS score of 8.8 (HIGH).
You are affected if your WordPress site uses the JAY Login & Register plugin and is running version 2.6.03 or earlier. Check your plugin version immediately.
Upgrade the JAY Login & Register plugin to version 2.6.04 or later. If an upgrade is not immediately possible, consider temporary workarounds like restricting access to the vulnerable function.
As of now, there are no publicly known active exploitation campaigns for CVE-2025-15100, but the vulnerability's ease of exploitation warrants vigilance.
Refer to the plugin developer's website or WordPress plugin repository for the official advisory and update information regarding CVE-2025-15100.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.