Platform
wordpress
Component
realteo
Opgelost in
1.2.9
CVE-2025-2232 beschrijft een ernstige authenticatie bypass kwetsbaarheid in de Realteo - Real Estate Plugin voor WordPress, ontwikkeld door Purethemes en gebruikt in combinatie met het Findeo Theme. Deze kwetsbaarheid stelt ongeauthentiseerde aanvallers in staat om een account met administrator rechten aan te maken, waardoor ze volledige controle over de website kunnen verkrijgen. De kwetsbaarheid treft versies van de plugin van 0 tot en met 1.2.8. Een patch is beschikbaar in de nieuwste versie van de plugin.
De impact van deze authenticatie bypass is significant. Een succesvolle exploitatie stelt een aanvaller in staat om een administrator account te creëren zonder enige authenticatie. Dit geeft de aanvaller volledige controle over de WordPress website, inclusief de mogelijkheid om content te wijzigen, gebruikersaccounts te beheren, plugins te installeren en te verwijderen, en gevoelige data te stelen of te manipuleren. De aanval kan leiden tot een compromittering van de gehele website en de daaraan gekoppelde data. Dit soort authenticatie bypasses zijn vaak eenvoudig te exploiteren en kunnen leiden tot een snelle en volledige overname van de website.
De kwetsbaarheid is openbaar gemaakt op 14 maart 2025. Er zijn momenteel geen bekende actieve campagnes gericht op deze specifieke kwetsbaarheid, maar de eenvoudige exploitatie maakt het een aantrekkelijk doelwit. Het is waarschijnlijk dat er binnenkort proof-of-concept exploits beschikbaar komen. De kwetsbaarheid is niet opgenomen in de CISA KEV catalogus op het moment van schrijven.
Websites utilizing the Realteo - Real Estate Plugin, particularly those running older, unpatched versions (0–1.2.8), are at significant risk. Shared hosting environments where multiple websites share the same server are also at increased risk, as a compromise of one site could potentially lead to the compromise of others. Sites relying on the Findeo Theme, which integrates with the plugin, are also affected.
• wordpress / composer / npm:
wp plugin list --status=active | grep Realteo• wordpress / composer / npm:
wp plugin update --all• wordpress / composer / npm:
wp plugin status realteo-real-estate-plugin• wordpress / composer / npm:
wp option get admin_user_email• wordpress / composer / npm:
wp user get admin --fields=rolesdisclosure
Exploit Status
EPSS
0.88% (75% percentiel)
CISA SSVC
CVSS-vector
De primaire mitigatie is het updaten van de Realteo - Real Estate Plugin naar de nieuwste versie, waar de kwetsbaarheid is verholpen. Indien een directe upgrade niet mogelijk is, kan een tijdelijke workaround bestaan uit het implementeren van extra authenticatie maatregelen op serverniveau, zoals het beperken van de toegang tot de registratiepagina of het implementeren van een CAPTCHA. Controleer ook de permissies van gebruikersrollen om te zorgen dat er geen onnodige administrator rechten worden toegekend. Na de upgrade, verifieer de integriteit van de website door te controleren of er geen ongeautoriseerde accounts zijn aangemaakt.
Update de Realteo plugin naar een gecorrigeerde versie. Controleer de website van Purethemes of de WordPress repository voor de laatste beschikbare versie die de authenticatie omzeiling kwetsbaarheid oplost. Zorg ervoor dat u een volledige back-up van de site maakt voordat u update.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
CVE-2025-2232 is a CRITICAL vulnerability in the Realteo - Real Estate Plugin for WordPress allowing unauthenticated attackers to create administrator accounts, gaining full control of the site.
If you are using the Realteo - Real Estate Plugin for WordPress in versions 0 through 1.2.8, you are affected by this vulnerability. Check your plugin versions immediately.
The recommended fix is to immediately upgrade the Realteo - Real Estate Plugin to the latest patched version available from the vendor. If upgrading is not possible, implement temporary role-based access controls.
While no active campaigns have been confirmed, the vulnerability is considered high-priority and public proof-of-concept code is likely to emerge, increasing the risk of exploitation.
Refer to the Purethemes website and WordPress plugin repository for the latest advisory and patched version of the Realteo - Real Estate Plugin.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.