В экосистеме WordPress выявлена опасная уязвимость, связанная с повышением привилегий (Privilege Escalation). Проблема затрагивает плагин Advanced Custom Fields: Extended, который установлен более чем на 100 000 активных сайтов. Уязвимость, получившая идентификатор CVE-2025-14533, позволяет неавторизованному злоумышленнику получить административные права на сайте.
Детали уязвимости
Суть уязвимости заключается в функции "insert_user", которая не накладывала ограничений на выбор роли пользователя при регистрации через специальную форму. В результате, если владелец сайта добавлял на страницу форму создания или обновления пользователя с полем для выбора роли, атакующий мог указать роль "администратор". После этого злоумышленник получал полный контроль над ресурсом.
Согласно данным компании Wordfence, занимающейся безопасностью WordPress, оценка по шкале CVSS для данной уязвимости составляет критические 9.8 баллов. Это подчёркивает высокую степень угрозы. Исследователь Андреа Боккетти обнаружил и ответственно сообщил об уязвимости через программу Bug Bounty от Wordfence, за что получил вознаграждение в размере 975 долларов.
Вендор плагина, команда ACF Extended, оперативно отреагировала на сообщение. Уязвимость была исправлена в версии 0.9.2.2, выпущенной 14 декабря 2025 года. Специалисты по безопасности настоятельно рекомендуют всем владельцам сайтов немедленно обновить плагин до этой или более новой версии.
Важно отметить, что для успешной эксплуатации уязвимости необходимо наличие на сайте определённой конфигурации. А именно, форма создания пользователя с привязанным полем для выбора роли. Однако учитывая критичность последствий, обновление является обязательной мерой.
Этот инцидент вновь демонстрирует важность своевременного обновления всех компонентов веб-сайта, особенно плагинов и тем. Даже популярные и широко используемые инструменты могут содержать критические ошибки. Регулярное обновление программного обеспечения остаётся одной из базовых и наиболее эффективных мер защиты.
Эксперты также напоминают о принципе минимальных привилегий. Следует тщательно контролировать, какие формы и функциональные возможности доступны публично на сайте. Ответственное раскрытие информации исследователями и быстрое реагирование разработчиков, как в данном случае, являются ключевыми элементами для поддержания безопасности всей экосистемы WordPress.
Ссылки
- https://wordpress.org/plugins/acf-extended/
- https://www.wordfence.com/blog/2026/01/100000-wordpress-sites-affected-by-privilege-escalation-vulnerability-in-advanced-custom-fields-extended-wordpress-plugin/
