Plataforma
wordpress
Componente
custom-registration-form-builder-with-submission-manager
Corrigido em
6.0.8
A vulnerabilidade CVE-2025-15403 é uma falha de Escalada de Privilégios descoberta no plugin RegistrationMagic para WordPress. Essa falha permite que atacantes não autenticados obtenham privilégios administrativos, comprometendo a segurança do site. As versões afetadas são de 0.0.0 até 6.0.7.1, e a correção foi lançada na versão 6.0.7.2.
Um atacante explorando com sucesso esta vulnerabilidade pode obter acesso não autorizado a funcionalidades administrativas do WordPress. Ao manipular a geração do menu do plugin, o atacante pode injetar a capacidade 'manage_options' em um papel específico, permitindo que ele execute ações que normalmente seriam restritas a administradores. Isso pode levar à modificação de configurações do site, inclusão de conteúdo malicioso, roubo de dados sensíveis e, potencialmente, controle total sobre o servidor. A ausência de autenticação necessária para explorar a falha aumenta significativamente o risco de exploração em ambientes WordPress com configurações padrão.
A vulnerabilidade foi publicada em 2026-01-17. Não há informações disponíveis sobre a inclusão em KEV ou sobre a existência de exploits públicos. A ausência de informações sobre exploração ativa sugere que a vulnerabilidade ainda não foi amplamente explorada, mas a gravidade da falha (CRITICAL) indica que a exploração é possível e deve ser tratada com urgência.
Status do Exploit
EPSS
0.14% (percentil 34%)
CISA SSVC
Vetor CVSS
A mitigação primária para CVE-2025-15403 é a atualização imediata do plugin RegistrationMagic para a versão 6.0.7.2 ou superior. Se a atualização imediata não for possível devido a problemas de compatibilidade, considere desativar temporariamente o plugin RegistrationMagic. Como medida adicional, revise as permissões de usuário no WordPress para garantir que apenas usuários autorizados tenham acesso a funções administrativas. Implementar um firewall de aplicação web (WAF) com regras para bloquear solicitações maliciosas direcionadas à função 'rmuserexists' também pode ajudar a mitigar o risco.
Atualize para a versão 6.0.7.2, ou uma versão corrigida mais recente
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
A CVSS score of 9.8 indicates a critical vulnerability with a high potential for exploitation and a significant impact.
Yes, updating to version 6.0.7.2 or higher is the recommended solution to mitigate this vulnerability. Additionally, reviewing user permissions is advised.
If you are using a version of the RegistrationMagic plugin older than 6.0.7.2, you are vulnerable. You can also monitor server logs for suspicious activity.
Immediately change all passwords, review website files for unauthorized modifications, and consider restoring from a clean backup.
Implement a robust security policy, including regular updates of all plugins and themes, and the use of strong passwords.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.