CVE-2025-12981
CriticalSummary
Motyw Listee dla WordPressa jest podatny na eskalację uprawnień we wszystkich wersjach do 1.1.6 włącznie. Problem wynika z błędnego sprawdzenia walidacji w funkcji rejestracji użytkowników w wtyczce listee-core, która nieprawidłowo sanitizuje parametr user_role.
Risk Assessment
Atakujący bez uwierzytelnienia mogą zarejestrować się jako Administrator, co stwarza poważne zagrożenie dla bezpieczeństwa systemu. Może to prowadzić do nieautoryzowanego dostępu do wrażliwych danych i funkcji administracyjnych.
Recommendation
Zaleca się aktualizację motywu Listee do najnowszej wersji, aby usunąć tę podatność. Dodatkowo warto przeprowadzić audyt użytkowników w systemie, aby zidentyfikować i usunąć nieautoryzowane konta.
Original NVD description (English source)
The Listee theme for WordPress is vulnerable to privilege escalation in all versions up to, and including, 1.1.6. This is due to a broken validation check in the bundled listee-core plugin's user registration function that fails to properly sanitize the user_role parameter. This makes it possible for unauthenticated attackers to register as Administrator by manipulating the user_role parameter during registration.

