Plataforma
wordpress
Componente
tiger
Corrigido em
101.2.2
O tema Tiger para WordPress apresenta uma vulnerabilidade de Escalada de Privilégios que permite a usuários autenticados com acesso de Subscriber ou superior, elevarem seus privilégios para o nível de administrador. Essa falha ocorre devido ao uso inadequado da função $user->set_role(), que permite a atualização do papel do usuário. A vulnerabilidade afeta todas as versões até, e incluindo, 101.2.1. A correção está disponível e a aplicação é recomendada para mitigar o risco.
Um atacante autenticado, com acesso de Subscriber ou superior, pode explorar essa vulnerabilidade para obter privilégios de administrador no site WordPress. Isso concede ao atacante controle total sobre o site, incluindo a capacidade de instalar e remover plugins, modificar conteúdo, gerenciar usuários e até mesmo excluir o site. O impacto é severo, pois compromete a integridade e a confidencialidade dos dados do site e de seus usuários. A exploração bem-sucedida pode levar à perda de dados, interrupção do serviço e danos à reputação.
A vulnerabilidade foi divulgada publicamente em 27 de novembro de 2025. Não há informações disponíveis sobre exploração ativa em campanhas direcionadas. A existência de um Proof of Concept (PoC) público pode facilitar a exploração por atacantes menos experientes. A inclusão em catálogos como o KEV (CISA) ainda não foi confirmada.
Websites using the Tiger WordPress theme, particularly those with a large number of Subscriber-level users or those with weak password policies, are at increased risk. Shared hosting environments where multiple websites share the same server resources are also vulnerable if one site is running an unpatched version of the theme.
• wordpress / composer / npm:
grep -r "$user->set_role()" /var/www/html/wp-content/themes/tiger/*• wordpress / composer / npm:
wp plugin list --status=active | grep tiger• wordpress / composer / npm:
wp theme list --status=active | grep tigerdisclosure
Status do Exploit
EPSS
0.06% (percentil 18%)
CISA SSVC
Vetor CVSS
A mitigação primária é atualizar o tema Tiger para a versão corrigida. Se a atualização imediata não for possível, considere restringir o acesso de usuários com privilégios Subscriber ou superiores, implementando controles de acesso mais rigorosos. Utilize um plugin de segurança para WordPress que possa detectar e bloquear tentativas de escalada de privilégios. Monitore os logs do WordPress em busca de atividades suspeitas, como tentativas de alteração de papéis de usuário. Após a atualização, confirme a correção verificando os papéis de usuário e garantindo que apenas administradores autorizados possuam privilégios elevados.
Nenhum patch conhecido disponível. Por favor, revise os detalhes da vulnerabilidade em profundidade e empregue mitigações com base na tolerância ao risco da sua organização. Pode ser melhor desinstalar o software afetado e encontrar um substituto.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
CVE-2025-13680 is a vulnerability allowing authenticated users to escalate privileges to administrator in the Tiger WordPress theme, potentially granting full control over the website.
You are affected if your WordPress site uses the Tiger theme and is running a version prior to the patch release. Check your theme version and upgrade as soon as a patch is available.
Upgrade the Tiger WordPress theme to the latest version as soon as a patch is released by the theme developer. Until then, restrict user roles and implement WAF rules.
As of the publication date, there is no confirmed active exploitation of CVE-2025-13680, but it's crucial to apply the patch promptly to prevent potential attacks.
Refer to the Tiger WordPress theme developer's website or WordPress.org plugin repository for the official advisory and patch release information.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.