Plataforma
wordpress
Componente
listee
Corrigido em
1.1.7
Uma vulnerabilidade de elevação de privilégios foi descoberta no tema Listee para WordPress, afetando versões de 1.0.0 até 1.1.6. A falha reside em uma validação inadequada no plugin listee-core, permitindo que atacantes não autenticados manipulem o parâmetro user_role durante o registro, resultando na criação de contas de administrador. A correção está disponível na versão 1.1.7 do tema.
A exploração bem-sucedida desta vulnerabilidade permite que um atacante não autenticado se registre no sistema WordPress como um administrador. Isso concede ao atacante controle total sobre o site, incluindo a capacidade de modificar conteúdo, instalar plugins maliciosos, criar novas contas de usuário e, potencialmente, comprometer dados sensíveis armazenados no banco de dados. A ausência de autenticação necessária para a exploração torna esta vulnerabilidade particularmente perigosa, pois qualquer pessoa com acesso ao formulário de registro pode potencialmente se tornar um administrador.
Esta vulnerabilidade foi divulgada em 27 de fevereiro de 2026. Não há evidências públicas de exploração ativa no momento da divulgação, mas a facilidade de exploração e a ausência de autenticação necessária tornam a vulnerabilidade um alvo atraente para atacantes. A vulnerabilidade não está listada no KEV (CISA Known Exploited Vulnerabilities) até o momento.
Websites using the Listee WordPress theme, particularly those running vulnerable versions (1.0.0–1.1.6), are at significant risk. Shared hosting environments where multiple websites share the same server are also at increased risk, as a compromise on one site could potentially lead to lateral movement to others. Sites with weak password policies or disabled user registration are especially vulnerable.
• wordpress / composer / npm:
wp plugin list | grep listee-core• wordpress / composer / npm:
wp plugin update listee-core --version=1.1.7• wordpress / composer / npm:
grep -r 'user_role' /var/www/html/wp-content/plugins/listee-core/• generic web: Check WordPress plugin directory for mentions of the vulnerability and associated indicators.
disclosure
Status do Exploit
EPSS
0.02% (percentil 6%)
CISA SSVC
Vetor CVSS
A mitigação primária é atualizar o tema Listee para a versão 1.1.7 ou superior, que corrige a vulnerabilidade. Se a atualização imediata não for possível, considere desativar temporariamente o formulário de registro do tema ou implementar um sistema de validação de entrada mais rigoroso no plugin listee-core. Monitore os logs do WordPress em busca de tentativas de registro suspeitas, especialmente aquelas que incluem valores inesperados para o parâmetro user_role. Após a atualização, verifique se o formulário de registro está funcionando corretamente e se a validação de roles está sendo aplicada.
Atualize para a versão 1.1.7, ou uma versão corrigida mais recente
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
CVE-2025-12981 is a critical vulnerability allowing unauthenticated attackers to register as administrators in the Listee WordPress theme due to flawed user role validation. It impacts versions 1.0.0–1.1.6 and has a CVSS score of 9.8.
If you are using the Listee WordPress theme versions 1.0.0 through 1.1.6, you are vulnerable. Check your theme version and upgrade immediately.
Upgrade the Listee WordPress theme to version 1.1.7 or later. If upgrading is not possible, temporarily disable user registration.
While no widespread exploitation has been confirmed, the vulnerability's severity and ease of exploitation suggest a medium probability of active attacks.
Refer to the official Listee theme documentation or website for the latest advisory and updates regarding CVE-2025-12981.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.