Platform
wordpress
Component
custom-registration-form-builder-with-submission-manager
Opgelost in
6.0.8
CVE-2025-15403 beschrijft een Privilege Escalation kwetsbaarheid in de RegistrationMagic plugin voor WordPress. Deze kwetsbaarheid stelt ongeauthenticeerde aanvallers in staat om de plugin’s menu generatie logica te manipuleren en beheerdersrechten te verkrijgen. De kwetsbaarheid treft versies van de plugin van 0.0.0 tot en met 6.0.7.1. Een fix is beschikbaar in versie 6.0.7.2.
Deze Privilege Escalation kwetsbaarheid maakt het mogelijk voor een ongeauthenticeerde aanvaller om beheerdersrechten te verkrijgen binnen een WordPress installatie die de RegistrationMagic plugin gebruikt. Door een lege slug in de 'order' parameter te injecteren, kan de aanvaller de plugin’s menu generatie logica beïnvloeden. Hierdoor wordt de 'manage_options' capability aan de betreffende rol toegekend, wat de aanvaller in staat stelt om configuratie-instellingen te wijzigen, gebruikers te beheren en potentieel toegang te krijgen tot gevoelige data. De impact is significant, aangezien de aanvaller volledige controle over de WordPress installatie kan verwerven zonder authenticatie.
Op dit moment is er geen informatie beschikbaar over actieve exploitatie van CVE-2025-15403. Er zijn ook geen publieke proof-of-concept exploits bekend. De kwetsbaarheid is opgenomen in het CISA KEV catalogus (KEV status onbekend). De publicatiedatum van de CVE is 2026-01-17, wat suggereert dat de kwetsbaarheid recent is ontdekt.
Exploit Status
EPSS
0.14% (34% percentiel)
CISA SSVC
CVSS-vector
De primaire mitigatie voor CVE-2025-15403 is het updaten van de RegistrationMagic plugin naar versie 6.0.7.2 of hoger. Indien een directe upgrade niet mogelijk is, overweeg dan tijdelijk de plugin te deactiveren om het risico te verminderen. Als een rollback naar een eerdere versie noodzakelijk is, zorg er dan voor dat de plugin is geconfigureerd met de meest recente beveiligingsinstellingen. Er zijn geen specifieke WAF-regels of configuratie-workarounds bekend, behalve het updaten van de plugin. Na de upgrade, controleer de plugin configuratie en gebruikersrechten om te bevestigen dat de kwetsbaarheid is verholpen.
Update naar versie 6.0.7.2, of een nieuwere gepatchte versie
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
A CVSS score of 9.8 indicates a critical vulnerability with a high potential for exploitation and a significant impact.
Yes, updating to version 6.0.7.2 or higher is the recommended solution to mitigate this vulnerability. Additionally, reviewing user permissions is advised.
If you are using a version of the RegistrationMagic plugin older than 6.0.7.2, you are vulnerable. You can also monitor server logs for suspicious activity.
Immediately change all passwords, review website files for unauthorized modifications, and consider restoring from a clean backup.
Implement a robust security policy, including regular updates of all plugins and themes, and the use of strong passwords.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.