Vulnerabilities ›

CVE-2025-13493

High

WordPress Latest Registered Users Plugin Unauthorized User Data Export Vulnerability

CWE-862 — Weakness Type

                    Published: Jan 7, 2026                      ·  Modified: Feb 28, 2026                      ·  Source: NVD                

CVSS v3

7.5

🔗 NVD Official

📄 Description (English)

The Latest Registered Users plugin for WordPress is vulnerable to unauthorized user data export in all versions up to, and including, 1.4. This is due to missing authorization and nonce validation in the rnd_handle_form_submit function hooked to both admin_post_my_simple_form and admin_post_nopriv_my_simple_form actions. This makes it possible for unauthenticated attackers to export complete user details (excluding passwords and sensitive tokens) in CSV format via the 'action' parameter.

🤖 AI Executive Summary

The Latest Registered Users WordPress plugin versions up to 1.4 contains an authorization bypass vulnerability (CWE-862) allowing unauthenticated attackers to export complete user details in CSV format. The vulnerability stems from missing authorization checks and nonce validation in the rnd_handle_form_submit function, enabling unauthorized access to sensitive user information excluding passwords.

📄 Description (Arabic)

تمثل هذه الثغرة خطراً أمنياً كبيراً حيث تسمح للمهاجمين غير المصادق عليهم بتصدير معلومات المستخدمين المسجلين دون أي تفويض. يستغل المهاجمون نقاط النهاية admin_post_my_simple_form وadmin_post_nopriv_my_simple_form التي تفتقر إلى آليات التحقق الأمنية الأساسية. يمكن للمهاجم الحصول على بيانات شاملة تشمل أسماء المستخدمين وعناوين البريد الإلكتروني والأدوار والبيانات الوصفية الأخرى، مما يشكل تهديداً خطيراً لخصوصية المستخدمين ويمكن استخدامه في هجمات التصيد الاحتيالي والهندسة الاجتماعية المستهدفة.

🤖 ملخص تنفيذي (AI)

تحتوي إضافة Latest Registered Users لووردبريس حتى الإصدار 1.4 على ثغرة تجاوز التفويض (CWE-862) تسمح للمهاجمين غير المصادق عليهم بتصدير بيانات المستخدمين الكاملة بصيغة CSV. تنبع الثغرة من غياب فحوصات التفويض والتحقق من الرموز المميزة في دالة rnd_handle_form_submit، مما يتيح الوصول غير المصرح به إلى معلومات المستخدمين الحساسة باستثناء كلمات المرور.

🤖 AI Intelligence Analysis Analyzed: Feb 28, 2026 07:41

🇸🇦 Saudi Arabia Impact Assessment

Saudi organizations using WordPress with this plugin face significant data privacy risks under PDPL regulations, as unauthorized user data exposure could lead to regulatory penalties and reputational damage. Government entities, educational institutions, and e-commerce platforms are particularly vulnerable to targeted social engineering attacks using exported user information.

🏢 Affected Saudi Sectors

القطاع الحكومي التعليم العالي التجارة الإلكترونية الإعلام والنشر المؤسسات غير الربحية الخدمات المهنية

🎯 MITRE ATT&CK Techniques

T1190 T1078 T1087.001 T1087.002 T1530 T1213

⚖️ Saudi Risk Score (AI)

8.0

/ 10.0

🔧 Remediation Steps (English)

1. Immediately disable or remove the Latest Registered Users plugin (versions ≤1.4) from all WordPress installations until a patched version is released by the vendor

2. Implement Web Application Firewall (WAF) rules to block requests to admin_post_my_simple_form and admin_post_nopriv_my_simple_form endpoints, and monitor access logs for suspicious CSV export attempts

3. Conduct a security audit to identify if unauthorized user data exports occurred, review WordPress access logs for POST requests with 'action' parameter exploitation, and notify affected users per PDPL requirements if data breach is confirmed

🔧 خطوات المعالجة (العربية)

1. تعطيل أو إزالة إضافة Latest Registered Users (الإصدارات ≤1.4) فوراً من جميع تثبيتات ووردبريس حتى صدور نسخة محدثة من المطور

2. تطبيق قواعد جدار حماية تطبيقات الويب (WAF) لحظر الطلبات إلى نقاط النهاية admin_post_my_simple_form وadmin_post_nopriv_my_simple_form، ومراقبة سجلات الوصول لمحاولات تصدير CSV المشبوهة

3. إجراء تدقيق أمني لتحديد ما إذا حدثت عمليات تصدير غير مصرح بها لبيانات المستخدمين، ومراجعة سجلات وصول ووردبريس لطلبات POST التي تستغل معامل 'action'، وإخطار المستخدمين المتأثرين وفقاً لمتطلبات نظام حماية البيانات الشخصية في حالة تأكيد الاختراق

📋 Regulatory Compliance Mapping

🟢 NCA ECC 2024

ECC-1-2 (Access Control) ECC-2-1 (Data Protection) ECC-3-1 (Vulnerability Management) ECC-4-3 (Security Monitoring)

🔵 SAMA CSF

CCC-1.1.1 (Access Control Policy) CCC-2.2.1 (Data Classification) CCC-3.1.1 (Vulnerability Assessment) CCC-5.1.1 (Incident Response)

🟡 ISO 27001:2022

A.9.2.1 (User Registration) A.9.4.1 (Information Access Restriction) A.12.6.1 (Technical Vulnerability Management) A.18.1.4 (Privacy and Protection of PII)

🔗 References & Sources 4

🔗

https://plugins.trac.wordpress.org/browser/latest-registered-users/tags/1.4/latest-regi...

security@wordfence.com

🔗

https://plugins.trac.wordpress.org/browser/latest-registered-users/trunk/latest-registe...

security@wordfence.com

🔗

https://plugins.trac.wordpress.org/browser/latest-registered-users/trunk/latest-registe...

security@wordfence.com

🔗

https://www.wordfence.com/threat-intel/vulnerabilities/id/e6139543-81e3-480a-93a4-1d87b...

security@wordfence.com

📊 CVSS Score

7.5

/ 10.0 — High

📊 CVSS Vector

CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N

Attack VectorN — None / Network

Attack ComplexityL — Low / Local

Privileges RequiredN — None / Network

User InteractionN — None / Network

ScopeU — Unchanged

ConfidentialityH — High

IntegrityN — None / Network

AvailabilityN — None / Network

📋 Quick Facts

Severity High

CVSS Score7.5

CWECWE-862

EPSS0.04%

Exploit No

Patch ✓ Yes

Published 2026-01-07

Source Feed nvd

🇸🇦 Saudi Risk Score

8.0

/ 10.0 — Saudi Risk

Priority: HIGH

🏷️ Tags

CWE-862

⚡ Actions

🔗 NVD Official Page ⚡ Exploit-DB Search 🐙 GitHub PoC Search 🎯 MITRE ATT&CK 📊 CVE Details

CVE-2025-13493

Introduce Yourself

Sign In Required