Plataforma
wordpress
Componente
jay-login-register
Corrigido em
2.6.04
O plugin JAY Login & Register para WordPress apresenta uma vulnerabilidade de Escalada de Privilégios. Essa falha permite que usuários autenticados com permissões de Subscriber ou superiores elevem seus privilégios para o nível de administrador, comprometendo a segurança do site. As versões afetadas são de 0.0.0 até a 2.6.03. A correção foi disponibilizada na versão 2.6.04.
A exploração bem-sucedida desta vulnerabilidade permite que um atacante, já autenticado no sistema com um nível de acesso inferior (Subscriber ou superior), obtenha privilégios de administrador. Isso concede controle total sobre o site WordPress, incluindo a capacidade de modificar conteúdo, instalar plugins, alterar configurações e até mesmo excluir o site. O impacto é severo, pois compromete a integridade e a confidencialidade dos dados armazenados no WordPress. Um atacante poderia, por exemplo, injetar código malicioso, roubar informações sensíveis de usuários ou realizar ataques de negação de serviço (DoS).
A vulnerabilidade foi divulgada em 2026-02-08. Não há informações disponíveis sobre exploração ativa ou presença na KEV (CISA Known Exploited Vulnerabilities) no momento da publicação. Não foram identificados Proof of Concepts (PoCs) públicos, mas a facilidade de exploração sugere um risco potencial. A pontuação CVSS de 8.8 (ALTO) indica um risco significativo.
WordPress websites utilizing the JAY Login & Register plugin, particularly those running older versions (0.0.0–2.6.03), are at significant risk. Shared hosting environments where plugin updates are not consistently managed are especially vulnerable, as are sites with weak password policies allowing easy compromise of Subscriber accounts.
• wordpress / composer / npm:
grep -r 'jay_panel_ajax_update_profile' /var/www/html/wp-content/plugins/jay-login-register/• wordpress / composer / npm:
wp plugin list --status=active | grep 'jay-login-register'• wordpress / composer / npm:
wp plugin version jay-login-registerdisclosure
Status do Exploit
EPSS
0.02% (percentil 5%)
CISA SSVC
Vetor CVSS
A mitigação primária é a atualização imediata para a versão 2.6.04 do plugin JAY Login & Register. Se a atualização imediata não for possível devido a incompatibilidades com outros plugins ou temas, considere desativar temporariamente o plugin para reduzir a superfície de ataque. Implemente regras de firewall (WAF) que bloqueiem requisições para a função 'jaypanelajaxupdateprofile' com parâmetros suspeitos. Monitore logs de acesso e auditoria do WordPress em busca de tentativas de acesso não autorizado ou modificações inesperadas nas permissões de usuários.
Atualize para a versão 2.6.04, ou uma versão corrigida mais recente
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
CVE-2025-15100 is a vulnerability in the JAY Login & Register WordPress plugin allowing authenticated attackers to elevate privileges to administrator level. It affects versions 0.0.0–2.6.03 and has a CVSS score of 8.8 (HIGH).
You are affected if your WordPress site uses the JAY Login & Register plugin and is running version 2.6.03 or earlier. Check your plugin version immediately.
Upgrade the JAY Login & Register plugin to version 2.6.04 or later. If an upgrade is not immediately possible, consider temporary workarounds like restricting access to the vulnerable function.
As of now, there are no publicly known active exploitation campaigns for CVE-2025-15100, but the vulnerability's ease of exploitation warrants vigilance.
Refer to the plugin developer's website or WordPress plugin repository for the official advisory and update information regarding CVE-2025-15100.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.