Advanced Custom Fields: Extended WordPressプラグインで発見された重大な権限昇格の脆弱性により、10万件を超えるアクティブインストールが脅威にさらされています。
CVE-2025-14533(CVSSスコア9.8)として識別されたこの脆弱性は、設定不備のあるユーザー登録フォームを悪用することで、未認証の攻撃者が管理者権限へ権限昇格できてしまいます。
広く利用されているAdvanced Custom FieldsスイートのアドオンであるAdvanced Custom Fields: Extendedプラグインは、「insert_user」フォームアクション関数においてロール制限を適切に強制できていません。
フォームにマッピングされたロールフィールドが含まれている場合、攻撃者はユーザー登録時に任意に「administrator」ロールを自分に割り当て、意図されたアクセス制御をすべて回避できます。
この脆弱性は0.9.2.1まで(0.9.2.1を含む)のすべてのバージョンに影響し、0.9.2.2で修正パッチが提供されています。
セキュリティ研究者のAndrea Bocchetti氏は、Wordfenceのバグバウンティプログラムを通じてこの脆弱性を発見し、責任ある開示により975ドルの報奨金を獲得しました。
| 項目 | 詳細 |
|---|---|
| CVE ID | CVE-2025-14533 |
| CVSS評価 | 9.8(重大) |
| 影響を受けるバージョン | ≤ 0.9.2.1 |
| 修正済みバージョン | 0.9.2.2 |
| 報奨金 | $975.00 |
研究者は、プラグインがフィールドグループレベルで「Allow User Role(ユーザーロールを許可)」という制限設定を提供している一方で、フォーム送信の処理時にはこの制限が完全に無視されており、意図された機能と実際の挙動の間に危険な不整合が生じていることを特定しました。
攻撃範囲と影響
この脆弱性は、ロールフィールドを含む「Create user(ユーザー作成)」または「Update user(ユーザー更新)」フォームアクションを導入しているWordPressサイトの所有者に深刻な影響を与えます。
攻撃者が管理者アクセスを得ると、悪意のあるプラグインやテーマをアップロードして任意のコードを実行したり、ページにスパムコンテンツを注入したり、訪問者をフィッシングサイトへリダイレクトしたり、長期的な侵害のための永続的なバックドアを設置したりできます。
この攻撃は認証を必要としないため、脅威アクターにとって悪用は容易です。
緩和策
Wordfenceは2025年12月11日にACF Extended開発チームへ調査結果を開示しました。ベンダーは迅速に対応し、2025年12月14日に修正版をリリースしました。
Wordfenceのプレミアムユーザーは12月11日にファイアウォール保護を受け取り、無料ユーザーは標準の30日間の保護遅延に従い、2026年1月10日に同じ保護を取得しました。
サイト管理者は、Advanced Custom Fields: Extendedを直ちにバージョン0.9.2.2以降へ更新すべきです。
影響を受けるバージョンを使用し、かつユーザー登録フォームが稼働している組織は、侵害リスクが高まっています。
Wordfence Vulnerability Management Portalは悪用の試行を継続的に監視しており、現在のセキュリティツールを持たない組織は、脅威アクターが自動化された悪用フレームワークを開発する前に、更新を優先すべきです。
翻訳元: https://gbhackers.com/wordpress-plugin-vulnerability-5/
