無料スキャン
HIGHCVE-2025-11855CVSS 8.8

Age Restriction <= 3.0.2 - サブスクライバー権限昇格

プラットフォーム

wordpress

コンポーネント

age-restriction

修正版

3.0.3

AI Confidence: highNVDEPSS 0.1%レビュー済み: 2026年5月
NVDで見る
保存
あなたの言語に翻訳中…

CVE-2025-11855 describes a privilege escalation vulnerability discovered in the Age Restriction WordPress plugin. This flaw allows authenticated users, even those with subscriber roles, to create new administrator accounts with predetermined credentials. The vulnerability impacts versions 0 through 3.0.2 of the plugin, and a patch is expected to be released by the plugin developer.

WordPress

このCVEがあなたのプロジェクトに影響するか確認

依存関係ファイルをアップロードすれば、このCVEや他のCVEがあなたに影響するか即座にわかります。

無料スキャン

影響と攻撃シナリオ翻訳中…

The primary impact of CVE-2025-11855 is the ability for lower-privileged users to gain administrative access to a WordPress site. An attacker with subscriber access could exploit this vulnerability to create a new administrator account, effectively taking complete control of the website. This control encompasses modifying content, installing malicious plugins, accessing sensitive data, and potentially pivoting to other systems on the network. The ease of exploitation, requiring only authenticated access, significantly broadens the potential attack surface.

悪用の状況翻訳中…

CVE-2025-11855 was publicly disclosed on 2025-11-11. A public proof-of-concept is likely to emerge given the vulnerability's ease of exploitation. The vulnerability is not currently listed on CISA KEV as of this writing. Active exploitation campaigns are possible, particularly targeting websites running older, unpatched versions of the Age Restriction plugin.

リスク対象者翻訳中…

Websites utilizing the Age Restriction WordPress plugin, particularly those running versions 0 through 3.0.2, are at risk. Shared hosting environments where multiple websites share the same server are particularly vulnerable, as a compromise of one site could potentially lead to access to others. WordPress installations with weak user management practices are also at increased risk.

検出手順翻訳中…

• wordpress / composer / npm:

wp plugin list | grep age-restriction

• wordpress / composer / npm:

wp plugin update age-restriction

• wordpress / composer / npm:

grep -r 'age_restrictionRemoteSupportRequest' /var/www/html/wp-content/plugins/age-restriction/

• wordpress / composer / npm:

wp plugin status age-restriction

攻撃タイムライン

  1. Disclosure

    disclosure

脅威インテリジェンス

エクスプロイト状況

概念実証不明
CISA KEVNO
インターネット露出

EPSS

0.07% (22% パーセンタイル)

CVSS ベクトル

脅威インテリジェンス· CVSS 3.1CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H8.8HIGHAttack VectorNetwork攻撃者がターゲットに到達する方法Attack ComplexityLow悪用に必要な条件Privileges RequiredLow攻撃に必要な認証レベルUser InteractionNone被害者の操作が必要かどうかScopeUnchanged影響コンポーネント外への波及ConfidentialityHigh機密データ漏洩のリスクIntegrityHigh不正データ改ざんのリスクAvailabilityHighサービス障害のリスクnextguardhq.com · CVSS v3.1 基本スコア
これらのメトリクスの意味は?
Attack Vector
ネットワーク — インターネット経由でリモートから悪用可能。物理・ローカルアクセス不要。
Attack Complexity
低 — 特別な条件不要。安定して悪用可能。
Privileges Required
低 — 有効なユーザーアカウントがあれば十分。
User Interaction
なし — 自動かつ無音の攻撃。被害者は何もしない。
Scope
変化なし — 影響は脆弱なコンポーネントのみ。
Confidentiality
高 — 機密性の完全喪失。全データが読み取り可能。
Integrity
高 — 任意のデータの書き込み・変更・削除が可能。
Availability
高 — 完全なクラッシュまたはリソース枯渇。完全なサービス拒否。

影響を受けるソフトウェア

コンポーネントage-restriction
ベンダーwordfence
影響範囲修正版
0 – 3.0.23.0.3

弱点分類 (CWE)

CWE-269

タイムライン

  1. 予約済み
  2. 公開日
  3. 更新日
  4. EPSS 更新日
未パッチ — 公開から194日経過

緩和策と回避策翻訳中…

The immediate mitigation for CVE-2025-11855 is to upgrade the Age Restriction WordPress plugin to a version containing the fix. If upgrading is not immediately feasible due to compatibility issues or breaking changes, consider temporarily restricting user roles and permissions to minimize the potential impact. Review user accounts for any suspicious additions. Monitor WordPress logs for unusual activity, particularly attempts to create new administrator accounts. While a WAF may not directly prevent this, it can be configured to flag suspicious requests related to user creation.

修正方法

既知の修正パッチはありません。脆弱性の詳細を詳細に検討し、組織のリスク許容度に基づいて軽減策を実施してください。影響を受けるソフトウェアをアンインストールし、代替ソフトウェアを見つけるのが最善かもしれません。

CVEセキュリティニュースレター

脆弱性分析と重要アラートをメールでお届けします。

よくある質問翻訳中…

What is CVE-2025-11855 — Privilege Escalation in Age Restriction WordPress Plugin?

CVE-2025-11855 is a HIGH severity vulnerability allowing authenticated users to create admin accounts in the Age Restriction WordPress plugin, potentially granting them full control of the website.

Am I affected by CVE-2025-11855 in Age Restriction WordPress Plugin?

If you are using the Age Restriction WordPress plugin versions 0 through 3.0.2, you are potentially affected by this vulnerability. Upgrade immediately.

How do I fix CVE-2025-11855 in Age Restriction WordPress Plugin?

Upgrade the Age Restriction WordPress plugin to the latest available version. Check the plugin developer's website for the patched version.

Is CVE-2025-11855 being actively exploited?

While no active exploitation has been confirmed, the ease of exploitation suggests active campaigns are possible. Monitor your website and logs for suspicious activity.

Where can I find the official Age Restriction advisory for CVE-2025-11855?

Check the Age Restriction plugin developer's website and WordPress plugin repository for the official advisory and patch information.

あなたのプロジェクトは影響を受けていますか?

依存関係ファイルをアップロードすれば、このCVEや他のCVEがあなたに影響するか即座にわかります。

無料スキャンCVEを検索