Plataforma
wordpress
Componente
designthemes-lms
Corrigido em
1.0.5
A vulnerabilidade CVE-2025-13542 afeta o plugin DesignThemes LMS para WordPress, permitindo a escalada de privilégios. Um atacante pode explorar essa falha para obter acesso administrativo ao site, mesmo sem autenticação. As versões afetadas são 1.0.0 até 1.0.4. A correção está disponível na versão 1.0.5.
A principal consequência dessa vulnerabilidade é a possibilidade de um atacante não autenticado obter acesso de administrador completo ao site WordPress. Isso permite a modificação de conteúdo, instalação de malware, roubo de dados de usuários e comprometimento da infraestrutura. A ausência de restrições no processo de registro permite que um atacante se registre com o papel de administrador, contornando os mecanismos de segurança padrão do WordPress. A exploração bem-sucedida pode levar a um comprometimento total do site e de seus dados, com impacto significativo na reputação e na operação da organização.
A vulnerabilidade foi divulgada em 2025-12-02. Não há informações disponíveis sobre a inclusão em KEV ou sobre a existência de um EPSS score. Ainda não há relatos públicos de exploração ativa, mas a facilidade de exploração e a gravidade da vulnerabilidade a tornam um alvo potencial para atacantes. A ausência de um PoC público não elimina o risco, pois a exploração pode ser realizada manualmente.
WordPress sites utilizing the DesignThemes LMS plugin, particularly those running versions 1.0.0 through 1.0.4, are at significant risk. Shared hosting environments where multiple websites share the same server are especially vulnerable, as a compromise of one site could potentially lead to the compromise of others. Sites with legacy WordPress configurations or those lacking robust security practices are also at higher risk.
• wordpress / composer / npm:
grep -r 'dtlms_register_user_front_end' /var/www/html/wp-content/plugins/designthemes-lms/• wordpress / composer / npm:
wp plugin list --status=inactive | grep designthemes-lms• wordpress / composer / npm:
wp plugin update designthemes-lms --all• generic web: Check WordPress plugin directory for updated version of DesignThemes LMS.
disclosure
Status do Exploit
EPSS
0.15% (percentil 35%)
CISA SSVC
Vetor CVSS
A mitigação primária é a atualização imediata para a versão 1.0.5 do plugin DesignThemes LMS. Se a atualização imediata não for possível devido a problemas de compatibilidade, considere desativar temporariamente o plugin para impedir novos registros. Implemente regras de firewall (WAF) para bloquear solicitações de registro com parâmetros suspeitos, como o papel de usuário definido como 'administrator'. Monitore os logs de registro do WordPress em busca de tentativas de registro suspeitas, especialmente aquelas que tentam definir o papel de usuário como administrador. Após a atualização, confirme a correção verificando se o processo de registro restringe o papel de usuário a opções válidas.
Atualize para a versão 1.0.5, ou uma versão corrigida mais recente
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
CVE-2025-13542 is a critical vulnerability allowing unauthenticated attackers to gain administrator access to WordPress sites using the DesignThemes LMS plugin by exploiting a flaw in user registration.
If you are using DesignThemes LMS versions 1.0.0 through 1.0.4 on your WordPress site, you are potentially affected by this vulnerability.
Upgrade the DesignThemes LMS plugin to version 1.0.5 or later to resolve the vulnerability. Consider temporary workarounds if immediate upgrade is not possible.
While no active exploitation has been confirmed, the vulnerability's ease of exploitation suggests a medium probability of exploitation and active monitoring is recommended.
Refer to the DesignThemes LMS website and WordPress plugin repository for the official advisory and update information.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.