WordPress向けプラグイン「Advanced Custom Fields: Extended(ACF Extended)」に存在する重大度クリティカルの脆弱性により、認証されていない攻撃者がリモートから悪用して管理者権限を取得できる可能性があります。
現在10万のウェブサイトで有効化されているACF Extendedは、開発者や高度なサイト構築者向けの機能を追加し、Advanced Custom Fields(ACF)プラグインの機能を拡張する特化型プラグインです。
CVE-2025-14533として追跡されているこの脆弱性は、ACF Extended 0.9.2.1以前のバージョンにおいて、プラグインの「Insert User / Update User」フォームアクションを悪用することで管理者権限の取得に利用される可能性があります。
この欠陥は、フォームベースのユーザー作成または更新時にロール制限が強制されないことに起因しており、フィールド設定でロール制限が適切に構成されている場合でも悪用が可能です。
「脆弱なバージョン[のプラグイン]ではフォームフィールドに制限がないため、フォームにロールフィールドが追加されていれば、フィールド設定に関係なくユーザーのロールを任意に、たとえ『administrator』にでも設定できます」 とWordfenceは説明しています。
研究者らは「権限昇格の脆弱性である以上、サイトを完全に侵害される可能性がある」と警告しています。
この欠陥を悪用した場合の影響は深刻ですが、Wordfenceは、この問題が悪用可能なのは、ロールフィールドがマッピングされた「Create User」または「Update User」フォームを明示的に使用しているサイトに限られると指摘しています。
CVE-2025-14533はセキュリティ研究者Andrea Bocchettiによって発見され、 2025年12月10日に、問題の検証とベンダーへのエスカレーションのためにWordfenceへ報告が提出されました。
4日後、ベンダーは問題に対処し、ACF Extendedバージョン0.9.2.2で修正をリリースしました。
wordpress.orgのダウンロード統計によると、それ以降およそ5万人のユーザーがこのプラグインをダウンロードしています。すべてのダウンロードが最新バージョン向けだったと仮定すると、攻撃にさらされたままのサイトがほぼ同数残っていることになります。
WordPressプラグインの列挙活動
CVE-2025-14533を狙った攻撃はまだ観測されていないものの、脅威監視企業GreyNoiseのレポートは、潜在的に脆弱なサイトを列挙することを目的とした大規模なWordPressプラグイン偵察活動を示しています。
GreyNoiseによると、2025年10月下旬から2026年1月中旬にかけて、145のASNにまたがる約1,000のIPが、4万件を超えるユニークな列挙イベントで706種類のWordPressプラグインを標的にしました。
最も標的にされたプラグインは、Post SMTP、Loginizer、LiteSpeed Cache、SEO by Rank Math、Elementor、Duplicatorです。
出典: GreyNoise
Post SMTPの欠陥CVE-2025-11833の積極的な悪用は、Wordfenceにより2025年11月上旬に報告され、GreyNoiseの記録は、91のIPが関与するこの欠陥を狙った集中的な取り組みを示しています。
GreyNoiseが管理者にパッチ適用を促した別の欠陥はCVE-2024-28000で、LiteSpeed Cacheに影響し、Wordfenceにより2024年8月に積極的に悪用されていると判断されました。
