WordPress是相当受欢迎的网站内容管理平台,插件程序众多,但每一套工具的软件安全防护再严密,也总有疏漏,因此,不时传出被研究人员或黑客找到安全漏洞的消息,这次出错的插件程序是用于改善网站管理员工作流程的Admin and Site Enhancements(ASE),安装数超过10万,根据安全企业Patchstack的披露,其中存在高风险漏洞CVE-2024-43333、CVE-2025-24648,影响7.6.2.1以下版本,且无论免费版本、付费的专业版本都受到影响。研究人员去年12月通报此事,开发者发布更新版本7.6.3修补,由于这项插件程序有超过10万个网站采用,若不处理影响范围可能相当广泛。
这些漏洞可被用于权限提升,因为其中以角色查看管理者(View Admin as Role)的功能出现逻辑错误,导致用户有机会能恢复成原本的角色权限。Patchstack举例,原本取得管理员权限的用户,后来却莫名其妙被降级为订阅者,一旦此插件程序的View Admin as Role功能激活,该用户可能回复先前的管理员身份,CVSS风险评为7.5。
特别的是,付费版与免费版的ASE虽然存在相同弱点,却登记为不同的CVE编号:CVE-2024-43333、CVE-2025-24648,Patchstack并未说明理由。
