關(guān)鍵詞

漏洞

一項(xiàng)嚴(yán)重的安全漏洞出現(xiàn)在廣受歡迎的Advanced Custom Fields: ExtendedWordPress 插件中，已使10 萬多個(gè)網(wǎng)站面臨被完全接管的風(fēng)險(xiǎn)。

該漏洞編號(hào)為CVE-2025-14533，影響插件0.9.2.1 及之前版本，CVSS 評(píng)分高達(dá)9.8（嚴(yán)重）。

如果未及時(shí)修補(bǔ)，未認(rèn)證的攻擊者可以利用用戶注冊(cè)表單中角色處理機(jī)制的缺陷，直接獲得管理員級(jí)別權(quán)限。

漏洞成因

該問題源于插件通過自定義表單創(chuàng)建用戶的實(shí)現(xiàn)方式。網(wǎng)站管理員可使用字段組構(gòu)建注冊(cè)或用戶資料表單，收集用戶名、郵箱、密碼以及用戶角色等信息。

在正常情況下，新注冊(cè)用戶的角色應(yīng)受到嚴(yán)格限制，通常只允許諸如“訂閱者（subscriber）”等低權(quán)限角色。然而，在受影響的版本中，這一控制機(jī)制失效，為濫用打開了大門。

Wordfence 分析人員發(fā)現(xiàn)，當(dāng)表單中映射了角色字段時(shí)，插件的 insert_user 表單動(dòng)作并未正確限制注冊(cè)過程中可分配的角色。

這意味著，攻擊者可以提交一個(gè)精心構(gòu)造的請(qǐng)求，即使前端界面限制了可選角色，也能在請(qǐng)求中將自己的角色設(shè)置為管理員。

一旦請(qǐng)求被處理，系統(tǒng)就會(huì)創(chuàng)建一個(gè)擁有完整管理員權(quán)限的賬戶。獲得管理權(quán)限后，攻擊者即可徹底控制受影響的 WordPress 網(wǎng)站。

潛在影響

攻擊者在取得管理員權(quán)限后，可以：

• 上傳帶有后門的惡意插件或主題

• 篡改網(wǎng)站內(nèi)容，將訪客重定向至釣魚或惡意網(wǎng)站

• 植入垃圾內(nèi)容或 SEO 投毒代碼

• 創(chuàng)建額外的管理員賬戶以維持長期訪問權(quán)限

鑒于該插件安裝量巨大，且在存在漏洞配置時(shí)利用門檻極低，只要網(wǎng)站將相關(guān)用戶操作表單暴露在公網(wǎng)，就可能遭受嚴(yán)重影響。

修復(fù)與風(fēng)險(xiǎn)現(xiàn)狀

在漏洞披露時(shí)，插件開發(fā)方已在0.9.2.2 版本中發(fā)布修復(fù)補(bǔ)丁，安全廠商也在防火墻層面提供了針對(duì)利用行為的攔截措施。

然而，那些尚未更新插件、且僅依賴應(yīng)用層防護(hù)的網(wǎng)站，仍然是攻擊者進(jìn)行自動(dòng)化掃描和入侵的理想目標(biāo)。

漏洞詳情一覽表

字段

漏洞編號(hào)

CVE-2025-14533

插件名稱

Advanced Custom Fields: Extended

插件標(biāo)識(shí)

acf-extended

受影響版本

≤ 0.9.2.1

修復(fù)版本

0.9.2.2

漏洞類型

未認(rèn)證權(quán)限提升

攻擊向量

惡意用戶注冊(cè)表單提交

觸發(fā)條件

存在映射了角色字段的公開表單

CVSS 評(píng)分

9.8（嚴(yán)重）

受影響安裝量

10 萬+ 活躍安裝

發(fā)現(xiàn)者

andrea bocchetti（Wordfence 漏洞懸賞）

權(quán)限提升是如何實(shí)現(xiàn)的？

該漏洞的核心在于插件高度靈活的表單系統(tǒng)，其初衷是讓站點(diǎn)管理員無需編寫代碼即可構(gòu)建自定義的用戶管理流程。

在典型配置中，管理員會(huì)定義一個(gè)字段組，包含用戶信息字段，并將其關(guān)聯(lián)到“創(chuàng)建用戶”或“更新用戶”的表單動(dòng)作。其中一個(gè)字段可以是角色選擇器，表面上受到“允許用戶角色（Allow User Role）”設(shè)置的限制。

但在后臺(tái)，當(dāng)表單提交時(shí)，插件會(huì)在acfe_module_form_action_user類中調(diào)用insert_user()函數(shù)。該函數(shù)會(huì)收集所有提交的數(shù)據(jù)（包括角色字段），并直接傳遞給 WordPress 原生的wp_insert_user()函數(shù)。

問題在于，在受影響版本中，插件并未在后端強(qiáng)制執(zhí)行字段組中配置的角色限制。前端設(shè)置營造了安全假象，但后端邏輯并未遵守這些規(guī)則。

因此，只要存在一個(gè)包含角色字段的公開表單，未認(rèn)證攻擊者就可以繞過可見的角色選項(xiàng)，在 HTTP 請(qǐng)求中自行指定角色（如 administrator）。由于插件未對(duì)該值進(jìn)行校驗(yàn)或過濾，WordPress 會(huì)接受請(qǐng)求并創(chuàng)建一個(gè)擁有完整管理員權(quán)限的賬戶。

整個(gè)過程無需已有賬號(hào)、社會(huì)工程學(xué)手段或密碼猜測(cè)，直接構(gòu)成一條通向網(wǎng)站完全失陷的通道。

一旦攻擊者以管理員身份進(jìn)入系統(tǒng)，便擁有與合法站點(diǎn)所有者相同的控制能力，可持續(xù)操縱和破壞網(wǎng)站。這使得CVE-2025-14533成為在特定配置存在時(shí)，導(dǎo)致 WordPress 網(wǎng)站被全面攻陷的高危漏洞。

安全圈

網(wǎng)羅圈內(nèi)熱點(diǎn) 專注網(wǎng)絡(luò)安全

實(shí)時(shí)資訊一手掌握！

好看你就分享 有用就點(diǎn)個(gè)贊

支持「安全圈」就點(diǎn)個(gè)三連吧！