文章总结： WordPress插件ACFExtended存在高危漏洞CVE-2025-14533，攻击者可利用表单缺陷提升权限至管理员。漏洞影响0.9.2.1及更早版本，虽已修复但大量网站仍存风险。监测显示针对WP插件的大规模侦察活动正在进行。建议立即升级至0.9.2.2以上版本，排查特定表单配置并关注相关威胁情报。 综合评分： 78 文章分类： 漏洞预警,WEB安全,漏洞分析,应用安全

ACF插件漏洞使黑客能够获得5万个WordPress网站的管理权限

Rhinoer Rhinoer

犀牛安全

2026年2月26日 00:00 北京

WordPress 的 Advanced Custom Fields: Extended (ACF Extended) 插件存在严重漏洞，未经身份验证的攻击者可远程利用该漏洞获取管理权限。

ACF Extended 目前已在 10 万个网站上启用，它是一款专门的插件，通过为开发人员和高级网站构建者提供的功能，扩展了 Advanced Custom Fields (ACF) 插件的功能。

该漏洞编号为 CVE-2025-14533，可通过滥用插件的“插入用户/更新用户”表单操作来获取管理员权限，该漏洞存在于 ACF Extended 0.9.2.1 及更早版本中。

该漏洞源于在基于表单的用户创建或更新过程中缺乏对角色限制的强制执行，即使在字段设置中正确配置了角色限制，该漏洞仍然会被利用。

Wordfence解释说：在存在漏洞的插件版本中，表单字段没有任何限制，因此可以任意设置用户的角色，即使是‘管理员’，而不管字段设置如何，只要表单中添加了角色字段 。

研究人员警告说：“与任何权限提升漏洞一样，这可以用于完全控制网站。”

虽然利用此漏洞的后果很严重，但 Wordfence 指出，该问题只能在明确使用映射了角色字段的“创建用户”或“更新用户”表单的网站上利用。

CVE-2025-14533 是由安全研究员 Andrea Bocchetti 发现的，他于 2025 年 12 月 10 日向 Wordfence 提交了一份报告，以验证该问题并将其上报给供应商。

四天后，供应商解决了这个问题，并在 ACF Extended 版本 0.9.2.2 中发布了该修复程序。

根据wordpress.org的下载统计数据，自那时以来，大约有 5 万用户下载了该插件。假设所有下载都是最新版本，那么大约有相同数量的网站将面临攻击风险。WordPress插件枚举活动

尽管目前尚未发现针对 CVE-2025-14533 的攻击，但威胁监控公司GreyNoise 的一份报告显示，大规模 WordPress 插件侦察活动旨在列举潜在的易受攻击的网站。

根据 GreyNoise 的数据，从 2025 年 10 月下旬到 2026 年 1 月中旬，来自 145 个 ASN 的近 1000 个 IP 地址针对 706 个不同的 WordPress 插件发起了超过 40000 次独特的枚举事件。

最受关注的插件包括 Post SMTP、Loginizer、LiteSpeed Cache、Rank Math SEO、Elementor 和 Duplicator。

Wordfence于 2025 年 11 月初报告称，有人积极利用了 Post SMTP 漏洞 CVE-2025-11833 ，而 GreyNoise 的记录显示，有人集中攻击该漏洞，涉及 91 个 IP 地址。

GreyNoise 敦促管理员修复的另一个缺陷是 CVE-2024-28000，该缺陷会影响 LiteSpeed Cache，并且Wordfence 在 2024 年 8 月将其标记为正在积极利用的漏洞。

信息来源：BleepingComputer

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：犀牛安全 Rhinoer Rhinoer《ACF插件漏洞使黑客能够获得5万个WordPress网站的管理权限》