Platform
wordpress
Component
opal-estate-pro
Opgelost in
1.7.6
CVE-2025-6934 beschrijft een privilege escalatie kwetsbaarheid in de Opal Estate Pro WordPress plugin, onderdeel van het FullHouse Real Estate thema. Deze kwetsbaarheid stelt ongeauthenticeerde aanvallers in staat om willekeurig rollen toe te kennen, inclusief de Administrator rol, tijdens het registratieproces. De kwetsbaarheid treft versies 1.0.0 tot en met 1.7.5 van de plugin. Een update naar versie 1.7.6 is beschikbaar om dit probleem te verhelpen.
De impact van deze kwetsbaarheid is significant. Een succesvolle exploitatie stelt een ongeauthenticeerde aanvaller in staat om de Administrator rol te verkrijgen, waardoor volledige controle over de WordPress website mogelijk is. Dit omvat de mogelijkheid om content te wijzigen, gebruikersaccounts te beheren, instellingen te veranderen en potentieel toegang te krijgen tot gevoelige gegevens. De kwetsbaarheid kan leiden tot een compromittering van de gehele website en de daaraan gekoppelde data. Het is vergelijkbaar met scenario's waarbij een aanvaller via een zwakke registratieprocedure toegang krijgt tot beheerdersrechten.
Deze kwetsbaarheid is openbaar bekend gemaakt op 2025-07-01. Er zijn momenteel geen publieke proof-of-concept exploits beschikbaar, maar de ernst van de kwetsbaarheid (CVSS 9.8) en de eenvoudige exploitatiemogelijkheid suggereren een potentieel voor actieve uitbuiting. Het is aan te raden om de website te monitoren op verdachte registraties en ongebruikelijke roltoekenningen.
Websites utilizing the FullHouse - Real Estate Responsive WordPress Theme and the Opal Estate Pro plugin are at immediate risk. Shared hosting environments are particularly vulnerable, as a compromise of one site could potentially impact others on the same server. Organizations relying on WordPress for critical business functions or handling sensitive user data should prioritize remediation.
• wordpress / composer / npm:
grep -r 'on_register_user' /var/www/html/wp-content/plugins/opal-estate-pro/• wordpress / composer / npm:
wp plugin list --status=inactive | grep opal-estate-pro• wordpress / composer / npm:
wp plugin list | grep opal-estate-prodisclosure
Exploit Status
EPSS
23.61% (96% percentiel)
CISA SSVC
CVSS-vector
De primaire mitigatie is het updaten van de Opal Estate Pro plugin naar versie 1.7.6 of hoger. Indien een directe upgrade niet mogelijk is, overweeg dan tijdelijke maatregelen zoals het beperken van de rollen die gebruikers kunnen kiezen tijdens registratie via WordPress-specifieke plugins of code. Controleer de WordPress plugin directory op alternatieve plugins met vergelijkbare functionaliteit die robuustere beveiligingsmaatregelen implementeren. Na de upgrade, verifieer de correcte werking van de plugin en de toegangsrechten van gebruikers door een nieuwe registratie uit te voeren en de roltoekenning te controleren.
Werk de Opal Estate Pro plugin bij naar een gecorrigeerde versie (hoger dan 1.7.5) om de privilege escalatie kwetsbaarheid te mitigeren. Controleer de plugin pagina op WordPress.org of de website van de ontwikkelaar voor de laatste versie. Zorg ervoor dat u een back-up van uw website maakt voordat u een plugin bijwerkt.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
CVE-2025-6934 is a critical vulnerability in the Opal Estate Pro WordPress plugin allowing unauthenticated attackers to escalate privileges to Administrator during user registration, potentially leading to full site control.
You are affected if you are using Opal Estate Pro versions 1.0.0 through 1.7.5 within your WordPress installation. Immediately check your plugin versions.
Upgrade the Opal Estate Pro plugin to version 1.7.6 or later to resolve this privilege escalation vulnerability. If immediate upgrade is not possible, disable the plugin.
While no active exploitation has been confirmed, the ease of exploitation suggests a high probability of attacks. Monitor security advisories and threat intelligence.
Refer to the official Opal Estate Pro plugin documentation and WordPress plugin repository for the latest advisory and update information.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.