文章总结： WordPress插件AdvancedCustomFields:Extended因insert_user函数未校验表单角色字段致CVE-2025-14533，CVSS9.8，未经身份验证攻击者可把任意访客提权为管理员并上传后门、篡改内容，约10万站点受影响，官方已发0.9.2.2补丁，建议立即升级并审查含用户角色字段的表单配置 综合评分： 92 文章分类： 漏洞预警,WEB安全,应用安全

“高级自定义字段：扩展”中的严重缺陷使 10 万个 WordPress 网站面临被接管的风险

sec随谈 sec随谈

sec随谈

2026年1月20日 09:58 北京

一款名为 Advanced Custom Fields: Extended 的热门 WordPress 插件被发现存在严重安全 漏洞，该插件拥有超过 10 万个活跃安装用户。该漏洞编号为 CVE-2025-14533，CVSS 评分接近最高分 9.8 分，允许未经身份验证的攻击者获取管理员权限并完全控制受影响的网站。

该漏洞由安全研究员 Andrea Bocchetti 通过 Wordfence 漏洞赏金计划发现，其存在插件处理用户表单的方式问题。具体来说，问题出在 acfe_module_form_action_user 类的 insert_user() 函数中。

在受影响的版本中，当表单包含用户角色字段时，该插件无法正确验证权限。即使站点管理员设置了限制（例如“允许用户角色”），代码也不会强制执行这些限制。

报告解释说：“不幸的是，在存在漏洞的版本中，表单字段没有任何限制，因此可以任意设置用户的角色，即使是‘管理员’，而不管字段设置如何，只要表单中添加了角色字段。”

这种疏忽实际上将控制权拱手让给了任何能够访问配置了用户角色字段的表单的人。

网站所有者面临的风险极高。一旦攻击者将权限提升至管理员级别，他们就几乎拥有对 WordPress 环境的无限控制权。

报告警告说：“与任何权限提升漏洞一样，此漏洞可用于完全控制网站。一旦攻击者获得 WordPress 网站的管理员用户权限，他们就可以像普通管理员一样操控目标网站上的任何内容。”

该报告详细说明，攻击者可以利用此访问权限“上传插件和主题文件（这些文件可能是包含后门的恶意 zip 文件）”，或者修改内容，将用户重定向到垃圾邮件或恶意软件网站。

虽然该漏洞十分严重，但需要特定的配置才能被利用。报告指出，只有当网站所有者添加了特定类型的表单时，该漏洞才会被触发。

“这种漏洞只会对那些在其网站上添加了带有角色字段的‘创建用户’或‘更新用户’操作表单的网站所有者造成严重影响，这种情况可能很少见。”

Wordfence已敦促用户立即更新其网站。修复此漏洞的补丁已在0.9.2.2版本中发布。

研究员 Andrea Bocchetti 因负责任地披露这一高危漏洞而获得 975.00 美元的赏金。

参考链接：

https://www.wordfence.com/blog/2026/01/100000-wordpress-sites-affected-by-privilege-escalation-vulnerability-in-advanced-custom-fields-extended-wordpress-plugin/

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：sec随谈 sec随谈 sec随谈《“高级自定义字段：扩展”中的严重缺陷使 10 万个 WordPress 网站面临被接管的风险》