Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Vulnerabilidad en El plugin de WordPress Admin and Site Enhancements (ASE) (CVE-2026-12083)

Gravedad CVSS v3.1:
ALTA
Tipo:
No Disponible / Otro tipo
Fecha de publicación:
06/07/2026
Última modificación:
06/07/2026

Descripción

El plugin de WordPress Admin and Site Enhancements (ASE), en versiones anteriores a la 8.8.4, y el plugin admin-site-enhancements-pro, en versiones anteriores a la 8.8.4, no realizan comprobaciones de autenticación, autorización ni de nonce en el gestor de solicitudes de restauración de roles, lo que permite a atacantes no autenticados restaurar una cuenta de administrador previamente degradada a su rol de administrador. Se trata de una corrección incompleta de los vulnerabilidades CVE-2024-43333 y CVE-2025-24648, que solo resolvió el problema para una de las rutas de degradación que expone la API de roles de WordPress.

Referencias a soluciones, herramientas e información