CVE Catalog
EnglishPolski(English translation not available - showing Polish)

CVE-2025-14156

Critical
Published: Translated: NVD NIST

Summary

Wtyczka Fox LMS – WordPress LMS Plugin dla WordPressa jest podatna na eskalację uprawnień we wszystkich wersjach do 1.0.5.1 włącznie. Problem wynika z niewłaściwej walidacji parametru 'role' podczas tworzenia nowych użytkowników przez punkt końcowy REST API `/fox-lms/v1/payments/create-order`.

Risk Assessment

Atakujący bez uwierzytelnienia mogą tworzyć nowe konta użytkowników z dowolnymi rolami, w tym administracyjnymi, co prowadzi do całkowitego kompromitowania witryny.

Recommendation

Zaleca się aktualizację wtyczki do najnowszej wersji, aby usunąć tę podatność oraz wdrożenie dodatkowych środków zabezpieczających, takich jak ograniczenie dostępu do punktu końcowego API.

Original NVD description (English source)

The Fox LMS – WordPress LMS Plugin plugin for WordPress is vulnerable to privilege escalation in all versions up to, and including, 1.0.5.1. This is due to the plugin not properly validating the 'role' parameter when creating new users via the `/fox-lms/v1/payments/create-order` REST API endpoint. This makes it possible for unauthenticated attackers to create new user accounts with arbitrary roles, including administrator, leading to complete site compromise.

Vulnerability data from NVD (NIST) · CISA KEV · EPSS