Более 100 тысяч сайтов на WordPress оказались под угрозой из-за критической уязвимости в популярном плагине Advanced Custom Fields: Extended. Уязвимость, получившая идентификатор CVE-2025-13486, позволяет злоумышленникам выполнять произвольный код на сервере без необходимости аутентификации. Эксперты оценили её опасность на максимальные 9.8 балла по шкале CVSS.
Детали уязвимости
Проблема была обнаружена исследователем под псевдонимом dudekmar в рамках программы вознаграждений за уязвимости (Bug Bounty Program) компании Wordfence. Уязвимость затрагивает версии плагина с 0.9.0.5 по 0.9.1.1. Безопасной является версия 0.9.2, выпущенная 21 ноября 2025 года.
Плагин Advanced Custom Fields: Extended является дополнением к известному инструменту для создания настраиваемых полей в WordPress. Он расширяет функционал, добавляя менеджер форм и другие возможности. Именно в механизме отображения форм и была найдена критическая ошибка.
Технический анализ показал, что функция "prepare_form()" в классе "acfe_module_form_front_render" некорректно обрабатывала пользовательский ввод. Параметры "form[render]" и "form", получаемые от пользователя, передавались напрямую в функцию "call_user_func_array()" без должной проверки. Эта ошибка позволяла атакующему указать любую PHP-функцию и аргументы для её выполнения.
На практике эксплуатация данной уязвимости открывает широкие возможности для злоумышленников. Например, они могут использовать встроенную функцию WordPress "wp_insert_user()" для создания новой учётной записи администратора, получая таким образом полный контроль над сайтом. Более того, уязвимость позволяет загружать на сервер веб-шеллы (webshells) - вредоносные скрипты для удалённого управления, что ведёт к полной компрометации ресурса.
Разработчики плагина оперативно отреагировали на сообщение об уязвимости. Патч, выпущенный 21 ноября, полностью устраняет риск, удаляя опасный код, основанный на пользовательском вводе и функции "call_user_func_array()". Команда Wordfence высоко оценила скорость реакции вендора.
Владельцам сайтов на WordPress, использующим плагин Advanced Custom Fields: Extended, необходимо безотлагательно проверить его версию и обновить до актуальной 0.9.2. Учитывая критический характер уязвимости и простоту эксплуатации, задержка с обновлением создаёт крайне высокий риск. Рекомендуется также проинформировать коллег и партнёров, использующих этот плагин, о необходимости срочных мер.
Распространение информации о таких инцидентах и скоординированный процесс раскрытия уязвимостей между исследователями, вендорами и охранными компаниями становятся стандартом отрасли. Этот подход минимизирует окно возможностей для киберпреступников и способствует общей безопасности экосистемы.
Ссылки
- https://www.cve.org/CVERecord?id=CVE-2025-13486
- https://www.wordfence.com/threat-intel/vulnerabilities/id/c508cb73-53e6-4ebe-b3d0-285908b722c9?source=cve
- https://plugins.trac.wordpress.org/changeset/3400134/acf-extended
