Restricción de Edad <= 3.0.2 - Elevación de Privilegios de Suscriptor+
Plataforma
wordpress
Componente
age-restriction
Corregido en
3.0.3
El plugin Age Restriction para WordPress, en versiones anteriores a la 3.0.2, presenta una vulnerabilidad de elevación de privilegios. Esta falla permite a usuarios autenticados, incluso aquellos con roles limitados como suscriptores, crear cuentas de administrador con un nombre de usuario predefinido y una contraseña elegida por el atacante. La explotación exitosa de esta vulnerabilidad puede comprometer la seguridad del sitio web y permitir el control total del mismo.
Detecta esta CVE en tu proyecto
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.
Impacto y Escenarios de Ataque
La principal consecuencia de esta vulnerabilidad es la posibilidad de que un atacante obtenga acceso de administrador al sitio web WordPress. Esto le permitiría modificar contenido, instalar malware, robar datos sensibles de los usuarios, o incluso tomar el control completo del servidor. Dado que el plugin Age Restriction se utiliza para restringir el acceso a contenido según la edad, la explotación podría permitir el acceso a contenido restringido y la manipulación de la configuración de restricciones de edad. La falta de autorización en la función age_restrictionRemoteSupportRequest es la raíz del problema, facilitando la creación de cuentas de administrador sin la debida verificación.
Contexto de Explotación
Esta vulnerabilidad fue publicada el 11 de noviembre de 2025. No se ha reportado su inclusión en el KEV de CISA ni se han identificado campañas de explotación activas a la fecha. Aunque no existen pruebas de explotación pública, la facilidad de explotación y el impacto potencial hacen que sea importante aplicar la mitigación lo antes posible. La existencia de un POC público podría aumentar significativamente el riesgo de explotación.
Quién Está en Riesgotraduciendo…
Websites utilizing the Age Restriction WordPress plugin, particularly those running versions 0 through 3.0.2, are at risk. Shared hosting environments where multiple websites share the same server are particularly vulnerable, as a compromise of one site could potentially lead to access to others. WordPress installations with weak user management practices are also at increased risk.
Pasos de Deteccióntraduciendo…
• wordpress / composer / npm:
wp plugin list | grep age-restriction• wordpress / composer / npm:
wp plugin update age-restriction• wordpress / composer / npm:
grep -r 'age_restrictionRemoteSupportRequest' /var/www/html/wp-content/plugins/age-restriction/• wordpress / composer / npm:
wp plugin status age-restrictionCronología del Ataque
- Disclosure
disclosure
Inteligencia de Amenazas
Estado del Exploit
EPSS
0.07% (22% percentil)
Vector CVSS
¿Qué significan estas métricas?
- Attack Vector
- Red — explotable remotamente por internet. Sin acceso físico ni local. Mayor superficie de ataque.
- Attack Complexity
- Baja — sin condiciones especiales. El atacante puede explotar de forma confiable sin configuraciones raras.
- Privileges Required
- Bajo — cualquier cuenta de usuario válida es suficiente.
- User Interaction
- Ninguna — el ataque es automático y silencioso. La víctima no hace nada.
- Scope
- Sin cambio — el impacto se limita al componente vulnerable.
- Confidentiality
- Alto — pérdida total de confidencialidad. El atacante puede leer todos los datos.
- Integrity
- Alto — el atacante puede escribir, modificar o eliminar cualquier dato.
- Availability
- Alto — caída completa o agotamiento de recursos. Denegación de servicio total.
Software Afectado
Clasificación de Debilidad (CWE)
Cronología
- Reservado
- Publicada
- Modificada
- EPSS actualizado
Mitigación y Workarounds
La mitigación principal es actualizar el plugin Age Restriction a la versión 3.0.3 o posterior, que corrige esta vulnerabilidad. Si la actualización no es inmediatamente posible, se recomienda implementar controles de acceso más estrictos en el sitio web WordPress. Esto podría incluir la limitación de los permisos de los usuarios autenticados, la implementación de autenticación de dos factores (2FA) para todos los usuarios, y la revisión regular de las cuentas de usuario existentes. Además, se recomienda monitorear los registros del sitio web en busca de intentos de creación de cuentas de administrador sospechosos. Después de la actualización, confirme la corrección revisando los permisos de usuario y asegurándose de que solo los administradores autorizados puedan crear nuevas cuentas.
Cómo corregirlo
No se conoce ningún parche disponible. Por favor, revise los detalles de la vulnerabilidad en profundidad y aplique mitigaciones basadas en la tolerancia al riesgo de su organización. Puede ser mejor desinstalar el software afectado y buscar un reemplazo.
Boletín de seguridad CVE
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
Preguntas frecuentestraduciendo…
What is CVE-2025-11855 — Privilege Escalation in Age Restriction WordPress Plugin?
CVE-2025-11855 is a HIGH severity vulnerability allowing authenticated users to create admin accounts in the Age Restriction WordPress plugin, potentially granting them full control of the website.
Am I affected by CVE-2025-11855 in Age Restriction WordPress Plugin?
If you are using the Age Restriction WordPress plugin versions 0 through 3.0.2, you are potentially affected by this vulnerability. Upgrade immediately.
How do I fix CVE-2025-11855 in Age Restriction WordPress Plugin?
Upgrade the Age Restriction WordPress plugin to the latest available version. Check the plugin developer's website for the patched version.
Is CVE-2025-11855 being actively exploited?
While no active exploitation has been confirmed, the ease of exploitation suggests active campaigns are possible. Monitor your website and logs for suspicious activity.
Where can I find the official Age Restriction advisory for CVE-2025-11855?
Check the Age Restriction plugin developer's website and WordPress plugin repository for the official advisory and patch information.
¿Tu proyecto está afectado?
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.