CVE-2025-11855 是 Age Restriction WordPress 插件中的权限提升漏洞。该漏洞允许经过身份验证的用户,例如订阅者,创建具有硬编码用户名和任意密码的管理员用户,从而绕过访问控制机制。此漏洞影响 Age Restriction WordPress 插件 0 到 3.0.2 版本。建议用户尽快升级到修复版本或采取适当的缓解措施。
该漏洞的影响非常严重,因为它允许低权限用户(如订阅者)获得管理员权限。攻击者可以利用此漏洞完全控制受影响的 WordPress 网站,包括修改内容、安装恶意软件、窃取敏感数据,甚至完全接管服务器。这种权限提升可能导致网站被破坏、数据泄露以及其他严重的后果。由于 WordPress 插件的广泛使用,该漏洞可能影响大量网站,造成广泛的安全风险。
该漏洞已公开披露,并且存在潜在的利用风险。目前尚未观察到大规模的利用活动,但由于漏洞的严重性和易利用性,建议尽快采取缓解措施。该漏洞尚未被添加到 CISA KEV 目录。公开的 PoC 可能会出现,因此需要保持警惕。
Websites utilizing the Age Restriction WordPress plugin, particularly those running versions 0 through 3.0.2, are at risk. Shared hosting environments where multiple websites share the same server are particularly vulnerable, as a compromise of one site could potentially lead to access to others. WordPress installations with weak user management practices are also at increased risk.
• wordpress / composer / npm:
wp plugin list | grep age-restriction• wordpress / composer / npm:
wp plugin update age-restriction• wordpress / composer / npm:
grep -r 'age_restrictionRemoteSupportRequest' /var/www/html/wp-content/plugins/age-restriction/• wordpress / composer / npm:
wp plugin status age-restrictiondisclosure
漏洞利用状态
EPSS
0.07% (22% 百分位)
CVSS 向量
最有效的缓解措施是立即升级 Age Restriction WordPress 插件到修复版本。如果无法立即升级,可以考虑以下临时缓解措施:限制用户权限,确保订阅者等低权限用户无法访问敏感功能;审查 WordPress 插件的权限设置,确保没有不必要的权限授予;实施严格的访问控制策略,限制对 WordPress 后台的访问;监控 WordPress 网站的活动日志,及时发现异常行为。升级后,请确认插件已成功更新,并验证用户权限是否已恢复正常。
没有已知的补丁可用。请深入审查漏洞的详细信息,并根据您组织的风险承受能力采取缓解措施。最好卸载受影响的软件并寻找替代方案。
漏洞分析和关键警报直接发送到您的邮箱。
CVE-2025-11855 是 Age Restriction WordPress 插件 0–3.0.2 版本中发现的权限提升漏洞,允许低权限用户创建管理员用户。
如果您正在使用 Age Restriction WordPress 插件 0 到 3.0.2 版本,则可能受到此漏洞的影响。请立即检查您的插件版本。
最有效的修复方法是立即升级 Age Restriction WordPress 插件到最新版本。
目前尚未观察到大规模的利用活动,但由于漏洞的严重性和易利用性,建议尽快采取缓解措施。
请访问 Age Restriction WordPress 插件的官方网站或 WordPress 插件目录,查找有关此漏洞的公告。
上传你的依赖文件,立即了解此CVE和其他CVE是否影响你。