Se ha identificado una vulnerabilidad de escalada de privilegios en el complemento Admin and Site Enhancements (ASE) para WordPress, que afecta tanto a las versiones gratuitas como a las pro hasta la 7.6.2.1.

La falla permite a los usuarios recuperar privilegios de acceso de nivel superior, lo que supone un grave riesgo de seguridad. El problema se ha corregido en la versión 7.6.3 y se identifica como CVE-2025-24648 y CVE-2024-43333.

El complemento ASE, con más de 100 000 instalaciones activas, está diseñado para mejorar los flujos de trabajo de administración de WordPress. La falla de seguridad se origina en la función “Ver administrador como rol”, que, cuando está habilitada, permite incorrectamente a los usuarios recuperar su rol anterior.

Si un administrador degradaba el acceso de un usuario, el usuario afectado podía aprovechar la vulnerabilidad para restaurar privilegios más altos, como el acceso de administrador.

Los analistas de seguridad de Patchstack descubrieron que la falla se debía a controles insuficientes en la restauración del rol de usuario. En concreto, el proceso no incluía una verificación de permisos sólida, y dependía únicamente de una verificación de nonce.

Esto hizo posible que cualquier usuario autenticado aumentara sus privilegios, si tenía un rol anterior más alto almacenado en los metadatos del usuario.

Patchstack instó a los administradores de WordPress a aplicar la última actualización del complemento ASE de inmediato e implementar las siguientes recomendaciones adicionales:

• Desactive la función “Ver administrador como rol” si no es necesario.
• Audite regularmente los roles y permisos de los usuarios.
• Considere usar complementos o servicios de seguridad para una mayor protección