CVE-2025-11855 - Age Restriction <= 3.0.2 - 订阅者+权限提升
概述
漏洞描述
WordPress年龄限制插件3.0.2及以下版本在age_restrictionRemoteSupportRequest函数中缺少授权检查,允许任何经过身份验证的用户(如订阅者)创建具有硬编码用户名和任意密码的管理员用户。
基本信息
发布日期: 2025年11月11日 上午6:15
最后修改: 2025年11月11日 上午6:15
远程利用: 否
来源: contact@wpscan.com
受影响产品
目前尚未记录受影响的具体产品信息
- 受影响供应商总数:0
- 产品总数:0
解决方案
- 将年龄限制WordPress插件更新到修复了授权缺陷的版本
- 如果没有可用更新,请移除易受攻击的插件
参考资源
| URL | 资源 |
|---|---|
| https://wpscan.com/vulnerability/1a16440e-817f-4ec2-9c70-261f6b63fb8a/ | WPScan漏洞详情 |
CWE - 常见弱点枚举
虽然CVE标识特定的漏洞实例,但CWE对可能导致漏洞的常见缺陷或弱点进行分类。CVE-2025-11855与以下CWE相关联。
常见攻击模式枚举和分类(CAPEC)
常见攻击模式枚举和分类(CAPEC)存储攻击模式,这些模式描述了对手利用CVE-2025-11855弱点所采用的常见属性和方法。
漏洞时间线
2025年11月11日 - 收到来自contact@wpscan.com的新CVE
| 操作 | 类型 | 旧值 | 新值 |
|---|---|---|---|
| 添加 | 描述 | WordPress年龄限制插件3.0.2及以下版本在age_restrictionRemoteSupportRequest函数中缺少授权检查,允许任何经过身份验证的用户(如订阅者)创建具有硬编码用户名和任意密码的管理员用户。 | |
| 添加 | 参考 | https://wpscan.com/vulnerability/1a16440e-817f-4ec2-9c70-261f6b63fb8a/ |
漏洞评分详情
此漏洞暂无CVSS指标可用。