- ACF: Extended WordPressプラグインの重大なバグにより、任意のロールを管理者へ昇格可能
- バージョン0.9.2.2で修正済みであるにもかかわらず、約50,000のWordPressサイトが脆弱
- 現時点で悪用の報告はないが、攻撃者が露出したサイトを近く調査し始める可能性が高い
人気プラグインで最近発見された重大度の高い脆弱性により、現在およそ50,000のWordPressサイトが、サイト全体を乗っ取られるリスクにさらされています。
2025年12月中旬、Wordfenceはセキュリティ研究者のAndrea Bocchetti氏から、Advanced Custom Fields(ACF)プラグインに機能を追加するプラグイン「Advanced Custom Fields: Extended」に脆弱性があるとの報告を受けました。
ACFは投稿や固定ページにカスタムフィールドを追加できる機能も提供しており、現在およそ100,000のWordPressサイトで積極的に利用されています。
安全を保つ方法
Bocchetti氏によると、このバグはフォームベースのユーザー作成または更新の際に、ロール制限が適切に適用されていないことに起因します。
「脆弱なバージョンではフォームフィールドに制限がないため、フォームにロールフィールドが追加されている場合、フィールド設定に関係なくユーザーのロールを任意に、さらには『administrator』にまで設定できてしまいます」と、Wordfenceはアドバイザリで説明しています。
「あらゆる権限昇格の脆弱性と同様に、これはサイトの完全な侵害に利用され得ます。」
言い換えれば、認証されていないユーザーでも自分自身をWordPressサイトの管理者に設定でき、実質的にサイトを乗っ取ることが可能になります。
この脆弱性はバージョン0.9.2.1以前で確認され、現在はCVE-2025-14533として追跡されています。深刻度スコアは9.8/10(クリティカル)と評価されました。
救いとなるのは、容易には悪用できない点です。サイト側で、ロールフィールドがマッピングされた「Create User(ユーザー作成)」または「Update User(ユーザー更新)」フォームを使用している必要があります。
このバグはバージョン0.9.2.2で修正されました。WordPressの公式統計によると、すでに約50,000のサイトが最新バージョンへ更新しており、同程度の数のサイトが依然として脆弱なまま残っています。
記事執筆時点では、実環境でこの欠陥が悪用されている証拠はありませんでした。しかし、いったん情報が出回った以上、サイバー犯罪者が少なくとも脆弱性の有無を探る動きを始めると考えてよいでしょう。
