ACF Extended 插件存在严重漏洞(CVE‑2025‑14533)可能导致网站权限被提升
针对 WordPress 平台广泛使用的高级自定义字段扩展插件 ACF Extended 最近披露了一项严重的安全漏洞,影响了该插件 0.9.2.1 及更早版本(编号 CVE‑2025‑14533)。该漏洞允许未经认证的攻击者利用前端用户表单绕过权限限制,甚至通过构造特定请求获取管理员权限,进而可能完全控制整个网站。
安全研究人员在 2025 年 12 月通过漏洞响应计划发现了这一漏洞,并在确认细节后通知了插件开发团队。漏洞成因在于插件对前端“创建用户/更新用户”表单提交的数据未能正确在服务器端进行角色字段的验证,使得攻击者可在 HTTP 请求中任意指定角色,包括管理员角色。
据分析,该漏洞的严重性评分高达 9.8(Critical)。虽然并非所有使用该插件的网站都能轻易触发此漏洞(需要启用包含角色字段的前端表单),但对于满足条件的实例,一旦被成功利用,攻击者便可获得对网站的完整控制权限。
安全团队指出,截至目前,有大量安装了该插件的 WordPress 站点仍未更新到修复版本,因此仍然处于高风险状态。同时,自动化扫描工具已经开始对潜在易受影响的网站进行检测。
影响范围与修复建议
该漏洞影响所有安装了 ACF Extended 的 0.9.2.1 及更早版本实例。据估计,该插件在全球拥有 超过 50,000 个活跃安装。开发者已经在 0.9.2.2 及更新版本中修复了这个问题,建议所有站长务必尽快更新到最新版以降低风险。
对于无法立即更新的环境,可以暂时删除或禁用涉及“创建用户/更新用户”角色字段的前端表单,同时严格审核&查验网站后台用户列表,确保没有未授权管理员账户。
总结
CVE‑2025‑14533 是一个非常严重的安全问题,其影响面广且利用条件相对简单。WordPress 管理员和开发者应当保持对安全通告的高度关注,及时升级插件并加强整体安全防护,确保网站不在这种高危漏洞的威胁之下。
评论0 注意:评论区不审核也不处理售后问题!如有售后问题请前往用户中心提交工单以详细说明!