【安全资讯】WordPress插件ACF Extended高危漏洞威胁五万网站安全

概要：

在当今数字化时代，内容管理系统（CMS）的安全性至关重要。WordPress作为全球最流行的CMS平台，其生态系统中插件的安全性直接影响着数百万网站的安全。近期，一款名为Advanced Custom Fields: Extended（ACF Extended）的WordPress插件曝出一个高危漏洞，可能使攻击者无需认证即可获取网站管理员权限，对约五万个网站构成严重威胁。

主要内容：

该漏洞被追踪为CVE-2025-14533，存在于ACF Extended插件0.9.2.1及更早版本中。漏洞的核心在于插件在处理“插入用户/更新用户”表单操作时，未能正确执行角色权限限制。即使管理员在字段设置中正确配置了角色限制，攻击者仍可通过表单字段任意设置用户角色，包括将其提升为“管理员”。

安全公司Wordfence的研究人员指出，该漏洞本质上是一个权限提升漏洞。攻击者可以利用此漏洞完全控制受影响的网站。然而，漏洞的利用存在特定前提条件：网站必须明确使用了映射了角色字段的“创建用户”或“更新用户”表单。

该漏洞由安全研究员Andrea Bocchetti于2025年12月10日发现并报告。插件开发商在四天后发布了修复版本0.9.2.2。根据下载统计数据，自修复版本发布以来，约有五万用户下载了该插件，这意味着可能仍有同等数量的网站运行着存在漏洞的旧版本，面临攻击风险。

尽管目前尚未观察到针对CVE-2025-14533的主动攻击，但威胁监控公司GreyNoise的报告显示，存在大规模针对WordPress插件的侦察活动，旨在枚举潜在易受攻击的站点。这凸显了网站管理员及时更新插件以修补已知漏洞的紧迫性。