Критическая уязвимость в ACF Extended: 100 000 сайтов оказались под угрозой

В популярном плагине Advanced Custom Fields: Extended для WordPress выявлена критическая уязвимость, позволяющая злоумышленнику без авторизации получить права администратора и полностью захватить управление сайтом. Под угрозой более 100 000 ресурсов, но проблему уже исправили в версии 0.9.2.2 — достаточно вовремя обновиться и проверить настройки безопасности, чтобы снизить риски взлома.

Содержание статьи

Что случилось с ACF Extended

В декабре 2025 года в плагине Advanced Custom Fields: Extended (ACF Extended), который установлен более чем на 100 000 сайтов WordPress, обнаружили критическую уязвимость повышения привилегий. Она получила идентификатор CVE-2025-14533 и оценку 9,8 из 10 по шкале CVSS, что относится к критическому уровню риска.

Проблема затрагивает все версии плагина до 0.9.2.1 включительно, а исправление было выпущено в версии 0.9.2.2 уже 14 декабря 2025 года. Пользователям настоятельно рекомендуют как можно быстрее обновить плагин до последней версии.

Простыми словами: суть уязвимости

ACF Extended расширяет стандартный плагин Advanced Custom Fields и позволяет создавать формы, в том числе формы регистрации и обновления пользователей. В уязвимых версиях плагина злоумышленник может воспользоваться формой с действием «Create user» или «Update user» и назначить себе любую роль, включая администратора.

Проблема в том, что функция insert_user в модуле обработки формы не ограничивает список ролей, которые можно присвоить пользователю через поле role. В результате неавторизованный атакующий может отправить данные с ролью administrator и получить полный доступ к сайту, если в форме есть поле роли, связанное с действием создания или обновления пользователя.

Чем опасен такой захват сайта

После успешной эксплуатации уязвимости злоумышленник оказывается на сайте с правами полноценного администратора WordPress. Это означает, что он может загружать и активировать плагины и темы, включая вредоносные архивы с бэкдорами, а также менять содержимое страниц и записей.

На практике это обычно приводит к одному или нескольким сценариям:

  • Массовая рассылка спама и вредоносных ссылок через ваш сайт.

  • Перенаправление посетителей на фишинговые или зараженные ресурсы.

  • Встраивание скрытых бэкдоров, чтобы сохранять доступ даже после видимой «чистки» сайта.

Важно понимать: критически уязвимы в первую очередь те сайты, где с помощью ACF Extended реализованы формы «Create user» или «Update user» с полем роли на фронтенде. Для сайтов, где такие формы не используются, риск эксплуатации сильно ниже, но обновление все равно обязательно.

Хронология и реакция безопасности

Уязвимость была ответственным образом передана в Wordfence Bug Bounty Program 10 декабря 2025 года, после чего специалисты подтвердили эксплойт. Уже 11 декабря 2025 года пользователи Wordfence Premium, Care и Response получили правило веб‑фаервола, блокирующее попытки эксплуатации этой дыры.

В тот же день автору ACF Extended через портал управления уязвимостями Wordfence передали полные технические детали, и 14 декабря вышла исправленная версия 0.9.2.2. Пользователи бесплатной версии Wordfence получили обновление правил фаервола 10 января 2026 года.

Что нужно сделать владельцам сайтов

Чтобы минимизировать риски взлома и защитить сайт на WordPress, делайте следующие шаги:

  1. Проверить версию ACF Extended

    • В админке перейдите в «Плагины» и найдите Advanced Custom Fields: Extended (acf-extended).

    • Если версия 0.9.2.1 или ниже, плагин уязвим и требует срочного обновления.

  2. Срочно обновить плагин до 0.9.2.2

    • Обновитесь через стандартный механизм WordPress или вручную загрузите последнюю версию с официального репозитория.

    • После обновления убедитесь, что в списке плагинов отображается версия 0.9.2.2 или выше.

  3. Проверить наличие пользовательских форм

    • Найдите формы с действиями «Create user» или «Update user», созданные с помощью форм-менеджера ACF Extended.

    • Особое внимание уделите формам, где добавлено поле роли (role), которое отображается конечному пользователю.

  4. Ограничить работу с ролями

    • По возможности уберите поле роли из публичных форм регистрации/обновления профиля.

    • Если оно необходимо, настройте раздачу ролей через серверную логику или хуки, а не через данные, которые может передать пользователь.

  5. Усилить общую безопасность WordPress

    • Используйте веб‑фаервол (например, Wordfence) для фильтрации вредоносных запросов.

    • Включите двухфакторную аутентификацию для администраторов, чтобы усложнить жизнь злоумышленникам при попытках входа.

    • Регулярно обновляйте все плагины, темы и саму CMS, чтобы закрывать свежие уязвимости.

Войти
adwork-color-copyCreated with Sketch.
Добро пожаловать в Adwork