Plataforma
wordpress
Componente
wp-cardealer
Corrigido em
1.2.17
A vulnerabilidade CVE-2025-13764 afeta o plugin WP CarDealer para WordPress, permitindo a escalada de privilégios. Um atacante pode explorar essa falha para obter acesso não autorizado ao painel de administração do site. As versões afetadas são de 0 até 1.2.16. A correção foi disponibilizada na versão 1.2.17.
A exploração bem-sucedida desta vulnerabilidade permite que um atacante não autenticado obtenha acesso de administrador completo ao site WordPress. Isso concede controle total sobre o site, incluindo a capacidade de modificar conteúdo, instalar malware, criar novos usuários com privilégios elevados e comprometer dados sensíveis. O impacto é severo, pois um atacante pode efetivamente assumir o controle total do site e seus dados. A ausência de autenticação necessária para definir o papel do usuário durante o registro torna a exploração relativamente simples e acessível a uma ampla gama de atacantes.
A vulnerabilidade foi divulgada publicamente em 11 de dezembro de 2025. Não há informações disponíveis sobre exploração ativa em campanhas. A ausência de autenticação para a definição do papel do usuário durante o registro sugere um risco elevado de exploração, especialmente em sites com configurações padrão. A vulnerabilidade está listada no NVD (National Vulnerability Database).
Websites utilizing the WP CarDealer plugin, particularly those with limited security hardening or those running older, unpatched versions of WordPress, are at significant risk. Shared hosting environments where multiple websites share the same server are also vulnerable, as a compromise of one site could potentially lead to the compromise of others.
• wordpress / composer / npm:
grep -r 'WP_CarDealer_User::process_register' /var/www/html/wp-content/plugins/wp-cardealer/• wordpress / composer / npm:
wp plugin list --status=all | grep 'wp-cardealer'• wordpress / composer / npm:
wp plugin update wp-cardealer --alldisclosure
Status do Exploit
EPSS
0.15% (percentil 35%)
CISA SSVC
Vetor CVSS
A mitigação primária é atualizar o plugin WP CarDealer para a versão 1.2.17 ou superior, que corrige a vulnerabilidade. Se a atualização imediata não for possível, considere desativar temporariamente o plugin para impedir novos registros de usuários. Implementar uma WAF (Web Application Firewall) com regras para bloquear tentativas de registro com papéis de usuário não autorizados pode fornecer uma camada adicional de proteção. Monitore os logs do WordPress em busca de tentativas de registro suspeitas e configure alertas para atividades incomuns.
Atualize para a versão 1.2.17, ou uma versão corrigida mais recente
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
CVE-2025-13764 is a critical vulnerability in the WP CarDealer WordPress plugin allowing unauthenticated attackers to gain administrator access by manipulating user roles during registration.
You are affected if you are using WP CarDealer versions 0.0 through 1.2.16. Immediately check your plugin version and upgrade if necessary.
Upgrade the WP CarDealer plugin to version 1.2.17 or later to resolve the vulnerability. Consider temporary workarounds if immediate upgrade is not possible.
There is currently no confirmed active exploitation, but the vulnerability's simplicity makes it a likely target for attackers.
Refer to the official WP CarDealer plugin website and WordPress.org plugin repository for the latest security advisory and update information.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.