Plataforma
wordpress
Componente
edukart-pro
Corrigido em
1.0.4
A vulnerabilidade CVE-2025-13559 afeta o plugin EduKart Pro para WordPress, permitindo a escalada de privilégios. Um atacante não autenticado pode explorar essa falha para obter acesso de administrador ao site, comprometendo a segurança dos dados e a integridade do sistema. As versões afetadas são 1.0.0 até 1.0.3. A correção oficial foi publicada em 2025-11-25.
A exploração bem-sucedida desta vulnerabilidade permite que um atacante obtenha acesso irrestrito ao site WordPress. Isso significa que o atacante pode criar, ler, atualizar e excluir qualquer dado no site, instalar ou remover plugins e temas, e até mesmo comprometer outros sistemas conectados à rede. O impacto é severo, pois a conta de administrador concede controle total sobre o ambiente WordPress. Um atacante poderia, por exemplo, injetar código malicioso em páginas, redirecionar usuários para sites de phishing ou até mesmo usar o servidor WordPress como um ponto de apoio para ataques a outros sistemas.
A vulnerabilidade foi divulgada em 2025-11-25. Não há informações sobre exploração ativa ou inclusão no KEV (CISA KEV catalog) no momento. A ausência de um Proof of Concept (PoC) público não diminui a gravidade da vulnerabilidade, dada a facilidade de exploração. A alta pontuação CVSS indica um alto risco.
WordPress sites utilizing the EduKart Pro plugin, particularly those with limited security hardening or those running older, unpatched versions, are at significant risk. Shared hosting environments where multiple websites share the same server infrastructure are also at increased risk, as a compromise of one site could potentially lead to the compromise of others.
• wordpress / plugin: Use wp-cli plugin list to identify installations of EduKart Pro. Check plugin files (e.g., edukartproregisteruserfront_end.php) for the vulnerable code.
• generic web: Monitor WordPress access logs for POST requests to the registration endpoint with parameters attempting to set the user role to 'administrator'.
• wordpress / composer: Run composer audit within the EduKart Pro plugin directory to check for known vulnerabilities.
• wordpress / plugin: Use a WordPress security plugin to scan for privilege escalation vulnerabilities and monitor for suspicious user registration attempts.
disclosure
Status do Exploit
EPSS
0.15% (percentil 35%)
CISA SSVC
Vetor CVSS
A mitigação imediata envolve a atualização do plugin EduKart Pro para a versão corrigida, assim que disponível. Se a atualização imediata não for possível, considere desativar o plugin temporariamente. Como workaround, implemente regras no servidor web (WAF) para bloquear solicitações de registro com a função 'administrador'. Monitore os logs do WordPress em busca de tentativas de registro suspeitas. Após a atualização, confirme a correção verificando se novos usuários não podem ser registrados com a função de administrador.
Nenhum patch conhecido disponível. Por favor, revise os detalhes da vulnerabilidade em profundidade e empregue mitigações com base na tolerância ao risco da sua organização. Pode ser melhor desinstalar o software afetado e encontrar um substituto.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
CVE-2025-13559 is a critical vulnerability allowing unauthenticated attackers to gain administrator access to WordPress sites using the EduKart Pro plugin by exploiting a flaw in user registration.
If you are using EduKart Pro versions 1.0.0 through 1.0.3 on your WordPress site, you are potentially affected by this vulnerability.
Upgrade to a patched version of the EduKart Pro plugin as soon as it becomes available. Until then, disable the plugin or implement a workaround to restrict user roles during registration.
While no public exploits are currently known, the vulnerability's severity and ease of exploitation suggest it is likely to be targeted by malicious actors.
Refer to the EduKart Pro plugin's official website or WordPress plugin repository for updates and advisories regarding this vulnerability.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.