Zraniteľnosť WP modulu Advanced Custom Fields: Extended umožňuje získanie administrátorskej kontroly

Vývojári modulu Advanced Custom Fields: Extended pre WordPress vydali bezpečnostné aktualizácie svojho produktu, ktoré opravujú kritickú zraniteľnosť. CVE‑2025‑14533 spočíva v nesprávnej reštrikcii rolí v rámci formulára pre tvorbu a editáciu používateľov. Vzdialený neautentifikovaný útočník by ju mohol zneužiť na získanie administrátorského prístupu a úplnej kontroly nad systémom.

Zraniteľné systémy:

• Advanced Custom Fields: Extended verzia 0.9.2.1 a staršie

Opis zraniteľností:

CVE‑2025‑14533 (CVSS 3.1 skóre 9.8)

Kritická zraniteľnosť modulu WordPress Advanced Custom Fields: Extended sa nachádza vo funkcii insert_user, ktorá nekontroluje správnym spôsobom aké používateľské role môže pri registrácii zadať používateľ. Vďaka tomu neautentifikovaný útočník môže pri registrácii zadať rolu „administrator“ a získať administrátorský prístup k celej stránke, čo vedie k úplnému kompromitovaniu inštancie WordPress.

Pozn.: Zraniteľnosť je možné zneužiť len pri použití formulárov Create User alebo Update User, ktoré majú sprístupnené pole rolí.

Možné škody:

• Eskalácia privilégií
• Získanie úplnej kontroly nad systémom

Odporúčania:

Administrátorom odporúčame bezodkladnú aktualizáciu modulu ACF: Extended na verziu 0.9.2.2 alebo novšiu, a taktiež aktualizáciu redakčného systému a všetkých modulov. Rovnako odporúčame aj kontroly používateľských kont a logov za účelom identifikácie podozrivej aktivity súvisiacej so zneužitím zraniteľnosti.

Zdroje:

• https://www.wordfence.com/blog/2026/01/100000-wordpress-sites-affected-by-privilege-escalation-vulnerability-in-advanced-custom-fields-extended-wordpress-plugin/
• https://nvd.nist.gov/vuln/detail/CVE-2025-14533