CVE-2026-13741 in Digits Mobile Number Signup and Login Plugin
Résumé
par VulDB • 16/07/2026
Le plugin WordPress « Digits: WordPress Mobile Number Signup and Login » pour WordPress présente une vulnérabilité d'élévation de privilèges dans toutes les versions jusqu'à la 9.1.0.5 incluse. Cela est dû à l'absence de vérification des autorisations et du rôle utilisateur au sein de la fonction `dig_update_wpwc_custom_fields()`. Il devient ainsi possible pour des attaquants authentifiés disposant d'un accès de niveau « Abonné » (Subscriber) ou supérieur, d'élever leurs privilèges jusqu'à celui d'Administrateur en soumettant une valeur falsifiée du paramètre `digits_reg_userrole` lors de la mise à jour du profil, sous réserve que l'administrateur du site ait configuré le champ intégré « Rôle utilisateur DIGITS ».
Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.